APD/GBA (Belgium) - 81/2020
From GDPRhub
| APD/GBA - 81/2020 | |
|---|---|
 | |
| Authority: | APD/GBA (Belgium) |
| Jurisdiction: | Belgium |
| Relevant Law: | Article 5(1)(c) GDPR Article 5(2) GDPR Article 12(1) GDPR Article 12(2) GDPR Article 12(3) GDPR Article 14(1) GDPR Article 14(2) GDPR Article 15(1) GDPR Article 24(1) GDPR Article 24(2) GDPR |
| Type: | Complaint |
| Outcome: | Upheld |
| Started: | |
| Decided: | 23.12.2020 |
| Published: | |
| Fine: | 50000 EUR |
| Parties: | Anonymous (Plaintive - physical person) Anonymous (Defendant 1 - company specialized in controlling "street parking" Anonymous (Defendant 2- bailiff's study) |
| National Case Number/Name: | 81/2020 |
| European Case Law Identifier: | n/a |
| Appeal: | Unknown |
| Original Language(s): | French |
| Original Source: | Belgian DPA (in FR) |
| Initial Contributor: | Mathieu Desmet |
Belgian DPA holds that two data controllers intervening successively have commited various breaches of the GDPR principles (lawfulness, data minimisation, accountability ,rights of information and access of the data subjects).
English Summary
Facts
A data subject makes an access request with the company controlling the respect of communal street parking regulations which had imposed him (or her) with a parking fine as well as to the bailiff's study charged to insure that this fine is paid.
Dispute
Should the private company responsible for compliance with municipal regulations (concerning parking) and the bailiff to whom unpaid fines are transferred inform the data subject about all the processing of their data, subsequent processing and justify their lawfulness and proportionality (data minimisation ).
Holding
The Litigation Chamber of the Belgian DPA notes the following breaches in respect of the first defendant: - a breach of its obligation to inform (article 14.1-2, combined with article 12.3 and 12.1.of the GDPR) - a breach of its obligation to follow up on the exercise of the complainant's right of access within the legal period allotted to it to do so (Article 15.1 combined with Article 12.3. of GDPR as well as Article 12.2. of the GDPR (obligation to facilitate the exercise of rights) - a breach of the principle of minimization during the premature consultation of the DIV (register concerning immatriculation of cars) - (article 5.1 c) of the GDPR. - a breach of its obligation to put in place technical measures and adequate organizational requirements for the implementation of Articles 5.2 and 24. 1-2 of the GDPR.
As to the second defendant the Belgian DPA found that the following breaches were commited : - a breach of its information obligation (article 14.1-2, combined with article 12.3. of GDPR) - a lack of legal basis with regard to the collection of data by way of the form accompanying the formal notice of payment (article 6 of the GDPR) and a breach of principle of data minimization (article 5.1 c) of the GDPR) given the excessive nature of requested data. - a breach of Articles 5.2. and 24. 1-2 of the GDPR. Decision : In consequence with the breaches mentionned above the first defendant was sanctionned (In accordance with the Law of 3 December 2017 establishing the Data Protection Authority) with a reprimand, an order to adopt necessary actions to comply with the GDPR and a 50.000 euro fine.
The second defendant was sanctionned with a reprimand, an order to adopt necessary action to comply with gdpr and a 15.000 euro fine.
Comment
Share your comments here!
Further Resources
Share blogs or news articles here!
English Machine Translation of the Decision
The decision below is a machine translation of the French original. Please refer to the French original for more details.
1/45 Chambre Contentieuse Décision quant au fond 81/2020 du 23 décembre 2020 N° de dossier : DOS-2019-02751 Objet : Décision relative à deux responsables de traitement intervenant successivement constatant différents manquements aux principes du RGPD (licéité, minimisation, accountability ) et aux droits des personnes concernées (information, accès, facilitation des droits) La Chambre Contentieuse de l'Autorité de protection des données, constituée de Monsieur Hielke Hijmans, président, et de Messieurs J. Stassijns, C. Boeraeve, membres, reprenant l’affaire dans cette composition; Vu le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), ci-après RGPD; Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données (ci-après LCA); Vu le règlement d'ordre intérieur tel qu'approuvé par la Chambre des représentants le 20 décembre 2018 et publié au Moniteur belge le 15 janvier 2019 ; Vu les pièces du dossier ; A pris la décision suivante concernant : La plaignante : X Décision quant au fond 81/2020- 2/45 La première défenderesse : Y ; Ayant pour conseils, Maîtres Frédéric Dechamps et Nathan Vanhelleputte, avocats. La seconde défenderesse : Z ; Ayant pour conseil Maître S. Parsa, avocate. Ci-après également désignées ensemble par « les défenderesses » ; 1. Rétroactes de la procédure Vu la plainte déposée le 15 mai 2019 par la plaignante auprès de l’Autorité de protection des données (ci-après APD); Vu la décision prise par la Chambre Contentieuse lors de sa séance du 12 juillet 2019 de saisir l’Inspecteur général sur la base des articles 63, 2° et 94, 1° LCA et la saisine de ce dernier à cette même date; Vu le rapport et procès-verbal d’enquête de l’Inspecteur général transmis le 6 janvier 2020 à la Chambre contentieuse ; Vu les courriers du 21 janvier 2020 et du 18 février 2020 de la Chambre Contentieuse informant les parties de sa décision de considérer le dossier comme étant prêt pour traitement au fond sur la base de l’article 98 LCA et leur communiquant un calendrier d’échange de conclusions ; Vu les conclusions principales de la seconde défenderesse déposées par son conseil, reçues le 12 mars 2020 ; Vu les conclusions de la plaignante, reçues le 27 mars 2020; Vu les conclusions additionnelles et de synthèse de la première défenderesse déposées par son conseil, reçues le 14 avril 2020 ; Vu les conclusions additionnelles et de synthèse de la seconde défenderesse déposées par son conseil, reçues le 14 avril 2020 ; Vu la demande formulée par les défenderesses aux termes de leurs conclusions d’être entendues par la Chambre Contentieuse en application de l’article 51 du règlement d’ordre intérieur de l’APD; Décision quant au fond 81/2020- 3/45 Vu l’invitation à l’audition adressée par la Chambre Contentieuse aux parties le 16 juin 2020 ; Vu l’information transmise le 25 juin 2020 à l’Inspecteur général quant à la tenue de l’audition en date du 13 juillet 2020 en application de l’article 48.2. du règlement d’ordre intérieur de l’APD ; Vu l’audition lors de la séance de la Chambre Contentieuse du 13 juillet 2020 en présence de la plaignante, [...], de la première défenderesse représentée par l’un de ses conseils, Maître Van Helleputte ainsi que de la seconde défenderesse représentée par son conseil Maître S. Parsa ; Vu le procès-verbal d’audition et les observations formulées sur celui - ci par les conseils respectifs des défenderesses lesquelles ont été jointes à ce procès-verbal ; Vu le formulaire de réaction à l’encontre d’une amende administrative envisagée adressé le 18 novembre 2020 à la première défenderesse. Aux termes de ce formulaire, la Chambre Contentieuse lui communique qu’elle envisage une amende à son encontre ainsi que les motifs pour lesquels les manquements constatés au RGPD justifient le montant d’amende; Vu la réaction du 9 décembre de la première défenderesse à ce formulaire ; Vu le formulaire de réaction à l’encontre d’une amende administrative envisagée adressé le 18 novembre 2020 à la seconde défenderesse. Aux termes de ce formulaire, la Chambre Contentieuse lui communique qu’elle envisage une amende à son encontre ainsi que les motifs pour lesquels les manquements constatés au RGPD justifient ce montant d’amende; Vu la réaction du 10 décembre 2020 de la seconde défenderesse à ce formulaire. 2. Les faits 1. La première défenderesse est une société spécialisée en matière de « stationnement de rue ». Elle réalise le contrôle du stationnement dans les communes dont elle est concessionnaire des missions d’intérêt public. La première défenderesse emploie [...] personnes. Elle fait par ailleurs partie du Groupe [...]. 2. La première défenderesse gère, en vertu du règlement communal de la Ville de [...], le stationnement de certaines rues de cette commune. 3. La seconde défenderesse est une Etude d’huissiers de justice située à […] qui s’occupe, dans le cadre de ses prérogatives légales définies à l’article 519 du Code judiciaire, notamment du recouvrement amiable et du recouvrement judiciaire de dettes de ses clients. La première Décision quant au fond 81/2020- 4/45 défenderesse est l’une de ses clientes. L’étude s’occupe pour son compte de la gestion du recouvrement amiable, puis, si nécessaire judiciaire, des dettes impayées telles que des redevances de stationnement. 4. Le 2 janvier 2019, la plaignante a stationné son véhicule dans une des rues de [...] dont la première défenderesse est chargée de la gestion des stationnements. La première défenderesse expose que la plaignante était garée dans une zone bleue dans laquelle le stationnement est limité à trente (30) minutes. En l’absence de disque bleu apposé par la plaignante sur son pare-brise et à défaut d’autorisation de stationnement dont elle aurait été titulaire, la première défenderesse indique avoir, en application de l’article [...] du règlement communal [...] applicable, placé une invitation à payer de [...] euros sur le pare-brise du véhicule de la plaignante. Ce montant correspond au montant de la redevance « Tarif 1 » du règlement communal. La plaignante conteste pour sa part avoir trouvé une quelconque invitation à payer sur son pare-brise. 5. La première défenderesse indique avoir envoyé un rappel de paiement à la plaignante le 24 janvier 2019, rappel qui majore la dette initiale de cinq (5) euros conformément à l’article [...] du règlement communal déjà cité. La plaignante conteste également avoir jamais reçu un tel rappel. 6. A défaut de paiement reçu dans les 15 jours de l’envoi dudit rappel du 24 janvier 2019, et conformément à l’article [...] du règlement communal applicable, la première défenderesse a transmis le dossier à son huissier de justice, soit à la seconde défenderesse, afin que cette dernière se charge de récupérer le montant dû par la plaignante. 7. Le 25 février 2019, la plaignante a reçu une mise en demeure de la part de la seconde défenderesse afin de récupérer le montant dû en application de l‘article [...] du règlement communal déjà cité. A la dette initiale, comme annoncé dans le courrier de rappel du 24 janvier 2019 (point 5 cidessus) s’ajoutent des frais conformément à l’arrêté royal du 30 novembre 1976 fixant le tarif des actes accomplis par les huissiers de justice en matière civile et commerciale auquel renvoie l’article [...] du règlement communal. La plaignante indique avoir reçu cette mise en demeure le 1er mars 2019. 8. Le 3 mars 2019, la plaignante écrit à la seconde défenderesse pour recevoir des explications, indiquant qu’elle n’a jamais reçu d’invitation à payer ni de rappel. Elle s’oppose par ailleurs au paiement de la redevance. Par le même courrier, la plaignante interroge la seconde défenderesse quant aux bases légales qui lui permettant d’accéder à la Direction de l’Immatriculation des Véhicules (DIV) du SPF Mobilité et au Registre national. Toujours aux termes de ce courrier, la plaignante exerce également son droit d’accès à ses données à caractère personnel que lui reconnait le RGPD (article 15 du RGPD). Décision quant au fond 81/2020- 5/45 9. A cette même date, la plaignante adresse les mêmes demandes à la première défenderesse. 10. Le 4 mars 2019, la première défenderesse renvoie la plaignante à la seconde défenderesse en ces termes : « Arrangez-vous avec l’huissier ». 11. Le 29 mars, à défaut de réponse reçue de la part de la seconde défenderesse, la plaignante lui réécrit signalant que le délai légal d’un (1) mois pour répondre à sa demande d’accès est sur le point d’expirer. 12. Le 2 avril 2019, la seconde défenderesse écrit à la plaignante en réponse à son courrier du 3 mars (point 8 ci-dessus) et lui fournit un certain nombre d’informations d’une part sur les données qu’elle traite en réponse à sa demande d’accès et d’information relative aux bases légales mobilisées ainsi que d’autre part, quelques informations sur les traitements opérés par sa cliente (la première défenderesse). S’en suit un échange de correspondance entre la plaignante et l’étude des huissiers de justice (seconde défenderesse) aux termes duquel des photos – peu lisibles selon la plaignante – lui sont communiquées. 13. Le 8 avril 2019, la plaignante demande à la seconde défenderesse de lui communiquer la preuve de l’envoi de la lettre de rappel du 24 janvier 2019 (point 5 ci-dessus). 14. S’en suit également une demande du 29 avril 2019 de la plaignante à la première défenderesse de se voir communiquer la preuve de l’envoi de cette lettre de rappel du 24 janvier 2019. En réponse, la première défenderesse communique une copie de la lettre de rappel et renvoie la plaignante aux huissiers de justice pour le surplus. 15. Le 15 mai 2019, la plaignante dépose une plainte à l’APD à l’encontre tant de la première défenderesse que de la seconde défenderesse. La plaignante apportera un addendum à sa plainte en date du 6 juin 2019. 16. La plaignante a par ailleurs adressé une demande d’accès à la DIV. De la réponse reçue par la plaignante le 17 mai 2019, il ressort que la première défenderesse a consulté les données de la plaignante le 3 janvier 2019 à 22h03, soit le lendemain de la constatation (du 2 janvier 2019 – voir point 4 ci-dessus) du manquement aux règles de stationnement reproché. 17. En juin 2019, la plaignante écrit à nouveau tant à la première qu’à la seconde défenderesse pour obtenir des précisions sur l’infraction qui lui est reprochée. Décision quant au fond 81/2020- 6/45 18. Le 11 juillet 2019, la seconde défenderesse répond à la demande de précision de la plaignante en indiquant que ce qui lui est reproché est de ne pas avoir apposé un ticket de stationnement valable sur son pare-brise. La première défenderesse reproche quant à elle à la plaignante d’avoir omis d’apposer son disque de stationnement requis en zone bleue. 3. L’objet de la plainte déposée par la plaignante 19. Aux termes de sa plainte, la plaignante demande que sa plainte à l’encontre de la première et de la seconde défenderesses soit déclarée recevable et fondée et qu’en conséquence, les défenderesses soient condamnées à la mise en conformité au RGPD et aux lois belges, dans le délai que la Chambre Contentieuse estimera raisonnable et ce, sous peine d’astreinte. 20. A cet égard, la plaignante estime que les défenderesses se sont rendues coupables : Quant à la première défenderesse: - d’un manquement à son droit à l’information (articles 12 et 14 du RGPD) - d’un manquement à son droit d’accès (article 15 du RGPD) - d’un manquement à l’article 28 du RGPD eu égard à la qualité de sous-traitant de la seconde défenderesse - d’un manquement à l’article 5 du RGPD (respect du principe de nécessité eu égard à la consultation de la DIV) - d’un manquement aux principes de proportionnalité et réutilisation illégale des données (articles 5 et 6 du RGPD) eu égard à la communication de ses données à la seconde défenderesse - d’un manquement au principe de minimisation (article 5 du RGPD) eu égard à la prise de photographie de son véhicule lors de la constatation de l’infraction aux règles de stationnement Quant à la seconde défenderesse - d’un manquement à son droit à l’information (articles 12 et 14 du RGPD) - d’un manquement à son droit d’accès (article 15 du RGPD) - d’un manquement à l’article 28 du RGPD eu égard à sa qualité de sous-traitant - d’un manquement aux principes de proportionnalité et réutilisation illégale des données (articles 5 et 6 du RGPD) qui lui sont communiquées par la première défenderesse alors même qu’elle n’y serait pas valablement fondée - d’un manquement aux principes de minimisation des données et le recours au consentement forcé (articles 5 et 6 du RGPD) eu égard au formulaire joint à la mise en demeure de paiement. Décision quant au fond 81/2020- 7/45 21. La plaignante demande également que les défenderesses soient condamnées à une sanction proportionnée à la gravité des faits, compte tenu de l’objet et de l’ampleur de leur activité professionnelle qui touche un grand nombre de citoyens. 22. Enfin, la plaignante sollicite la condamnation des défenderesses à la publicité non anonymisée de la décision de la Chambre Contentieuse de manière à informer le public des pratiques illégales en matière de gestion des redevances de parking à l’encontre desquelles ils peuvent revendiquer le respect de leurs droits en matière de protection des données. 4. Le rapport d’inspection du 6 janvier 2020 23. Aux termes de son rapport, l’Inspecteur général fait les constats suivants : 24. Constat 1 : Il ne ressort pas des éléments du dossier et des réponses apportées par la première défenderesse que la licéité des traitements opérés par la première et la seconde défenderesses afin de procéder au recouvrement de la créance réglementaire de stationnement communal puisse être mise en doute. 25. Constat 2 : L’information fournie aux personnes concernées sur le site de la première défenderesse est lacunaire. La déclaration de vie privée figurant sur le site de la première défenderesse [...] ne concerne en effet pas les données à caractère personnel qu’elle traite à l’occasion du contrôle, de l’envoi du rappel et de la transmission du dossier à l’huissier de justice (seconde défenderesse). Les coordonnées de l’agent de protection de la vie privée de la première défenderesse en charge de traiter les demandes de droit d’accès des personnes concernées ne sont pas mentionnées dans cette déclaration. La première défenderesse ne remplit dès lors pas son obligation de fournir une information aisément accessible, notamment par voie électronique aux personnes concernées, prescrite à l’article 12.1. du RGPD. 26. Constat 3 : Le droit d’accès de la plaignante aux données la concernant traitées par la première défenderesse n’a pas été respecté, en contravention avec l’article 15 du RGPD. Pour seule réponse à sa demande d’accès, la plaignante a en effet été renvoyée à deux reprises vers l’huissier de justice [lisez la seconde défenderesse] et une copie du rappel de paiement qu’elle contestait avoir reçu lui a été fournie. A cet égard, il apparait qu’il n‘y a pas de procédure en place afin que le service clientèle de la première défenderesse en charge des plaintes fasse parvenir les demandes relatives à l’exercice des droits de la personne concernée à l’agent de protection de la vie privée de la première défenderesse. Décision quant au fond 81/2020- 8/45 27. Constat 4 : L’accès à la DIV par la première défenderesse a été opéré dès le lendemain du contrôle du véhicule de la plaignante. Des données à caractère personnel la concernant (nom, prénom et adresse) ont été traitées sans nécessité dans la période pendant laquelle la personne concernée a la possibilité d’acquitter la redevance avant l’envoi d’un rappel envoyé à son nom et à son adresse, ce qui n’est pas conforme avec le principe de minimisation des données prévu à l’article 5.c [lisez article 5.1 c)] du RGPD. Suivant l’article [...] du règlement redevance de la Ville de [...] du [……….. ], ce délai est de 10 jours. La première défenderesse fait valoir que dans ce cas-ci une erreur technique a été rencontrée dans l’accès automatisé à la DIV. Elle joint un échange de mails des 14 et 22 novembre 2019 avec son fournisseur duquel il ressort que les données de la DIV sont alors reçues après 48 heures pour l’ensemble de ses sites. 28. La Chambre Contentieuse relève que dans le cadre de son enquête, les courriers de réponse aux questions posées à la seconde défenderesse par l’Inspecteur général sont signés du groupe [...]. 5. L’audition du 13 juillet 2020 29. De l’audition du 13 juillet 2020 - dont un procès-verbal a été établi – sont, outre les arguments développés en terme de conclusions, ressortis les éléments suivants : - la qualité de responsable de traitement de chacune des défenderesses ; - les modifications décidées par la première défenderesse à la procédure mise en place avec la seconde défenderesse pour l’exercice des droits en matière de protection des données des personnes concernées et plus particulièrement, la décision de conserver en interne la gestion des demandes d’exercice de leurs droits par les personnes concernées ; - le travail de mise en conformité avec le RGPD effectué par les huissiers de justice dès le 25 mai 2018, notamment l’adoption d’une privacy policy détaillée disponible sur son site Internet ; - la désignation d’un délégué à la protection des données (DPO) tant par la première que la seconde défenderesses ; - la demande de publication de la décision de la Chambre Contentieuse sous une forme anonymisée formulée tant par la première que la seconde défenderesses motivée notamment par l’image de la fonction d’huissier de justice (seconde défenderesse) ainsi que la crainte de voir, compte tenu du nombre de personnes dont des données personnelles sont traitées par l’une et l’autre défenderesses, se multiplier le nombre de plaintes à leur égard. - la confirmation de ce que la première défenderesse fait partie du groupe [...]. EN DROIT 6. Structure de la décision Décision quant au fond 81/2020- 9/45 30. Au titre de remarques liminaires, la Chambre Contentieuse formulera un certain nombre de précisions quant à sa compétence (7.1.), quant à l’erreur de référence de la base de licéité du traitement spontanément relevée par la première défenderesse (7.2.) ainsi que quant à la qualité de la première et de la seconde défenderesses au regard des traitements de données concernés (7.3.). Ces clarifications sont un préalable nécessaire à la cohérence et à la bonne compréhension de la suite de la présente décision. 31. Ensuite, au titre 8, la Chambre Contentieuse examinera successivement les manquements pouvant être retenus à charge de la première défenderesse d’une part (titre 8.1.) et à charge de la seconde défenderesse d’autre part (titre 8.2). 32. Enfin, au titre 9, la Chambre Contentieuse motivera les mesures correctrices et sanctions qu’elle décide d’imposer à la première défenderesse d’une part (titre 9.1.) et à la seconde défenderesse d’autre part (titre 9.2.). 7. Remarques liminaires 7.1. Quant à l’appréciation souveraine de la Chambre Contentieuse nonobstant les constats du rapport d’inspection et les termes de la plainte 33. A plusieurs reprises dans ses conclusions, la seconde défenderesse met en évidence que compte tenu de ce que le rapport d’inspection n’a constaté aucun manquement à son égard, aucun manquement ne pourrait être retenu à son encontre par la Chambre Contentieuse. 34. La Chambre contentieuse rappelle à cet égard que le recours à l’Inspection n’est pas systématiquement requis par la LCA. En effet, c’est à la Chambre Contentieuse de déterminer à la suite du dépôt d’une plainte, si une enquête par l’Inspection est nécessaire ou pas (article 63, 2° LCA – art. 94, 1° LCA). La Chambre Contentieuse peut également décider de traiter la plainte sans avoir saisi le service d’inspection (art. 94, 3° LCA). 35. Lorsqu’elle est saisie, les constatations de l’Inspection éclairent assurément la Chambre Contentieuse sur les éléments de fait de la plainte, sur la qualification de ces faits au regard de la réglementation en matière de protection des données et peuvent venir appuyer l’un ou l’autre manquement retenus in fine par la Chambre Contentieuse aux termes de ses décisions. Toutefois, la Chambre Contentieuse demeure libre, à l’appui de l’ensemble des pièces produites durant la procédure et des arguments développés dans le cadre du débat contradictoire qui suit sa décision de traiter l’affaire quant au fond (article 98 LCA) - le cas échéant après recours à l’Inspection -, de conclure de manière motivée à l’existence de manquements que n’aurait pas soulevé le rapport d’inspection. Décision quant au fond 81/2020- 10/45 36. Quant aux termes de la plainte, ils constituent tant pour l’Inspection que pour la Chambre Contentieuse un point de départ. La Chambre Contentieuse rappelle qu’à plusieurs reprises déjà, elle a tranché que durant la procédure consécutive à la plainte, elle a la possibilité de faire évoluer la qualification juridique des faits qui lui sont soumis, ou d’examiner de nouveaux faits liés à la plainte, sans nécessairement faire appel à l’intervention de l’Inspection, notamment en posant des questions aux parties ou en tenant compte de faits nouveaux ou de qualifications invoqué(e)s par voie de conclusion, et ce, dans les limites du débat contradictoire, à savoir, pour autant que les parties aient eu l’occasion de débattre de ces faits ou qualifications juridiques de manière conforme aux droits de la défense1 . 7.2. Quant à la base de licéité 37. Aux termes de ses conclusions, la première défenderesse précise qu’elle se doit de corriger une erreur. Elle précise que le règlement communal du [...] sur lequel a été fondé la licéité du traitement et dont la légitimité est reconnue à travers le rapport d’enquête s’applique dans le cas de redevances de stationnement en cas de non-paiement via un horodateur. 38. En l’espèce, la première défenderesse relève que la redevance due par la plaignante est due en raison de l’absence de disque bleu apposé. C’est dès lors le règlement communal du [...] relatif au stationnement en zone bleue qui doit s’appliquer. 39. La première défenderesse indique que cependant, puisque les deux règlements communaux sont rédigés de manière identique – à tout le moins en ce qui concerne les articles pertinents dans le cadre du présent litige – il convient simplement d’adapter les références faites. 40. Dans ses conclusions, la plaignante soulève le fait que le règlement communal du [...] invoqué cette fois par la seconde défenderesse au bas de la mise en demeure qu’elle lui a envoyée le 25 février 2019 (point 7 ci-dessus) est arrivé à échéance le [...], soit avant l’envoi de ladite mise en demeure et avant la date de l’infraction qui lui est reprochée (2 janvier 2019). Elle conclut dès à l’absence de licéité du traitement. Dans ses conclusions et dans son dossier de pièces, la seconde défenderesse s’appuie, contrairement à la référence figurant au bas de ladite mise en demeure, sur le règlement communal du [...] relatif au stationnement en zone bleue. 1 Voy Chambre Contentieuse, Décisions 17/2020 (points 26 à 33) https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-17-2020.pdf; 41/2020 (point 12 et points 14-15) https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-41- 2020.pdf et 63/2020 (points 16 à 22): https://www.autoriteprotectiondonnees.be/publications/decision-quantau-fond-n-63-2020.pdf disponibles sur le site Internet de l’APD. Décision quant au fond 81/2020- 11/45 41. La Chambre Contentieuse conclut de ce qui précède que les défenderesses s’accordent pour considérer que la base de licéité de leurs traitements trouve, en partie à tout le moins, sa source dans le règlement communal du [...] relatif au stationnement en zone bleue. 42. La Chambre Contentieuse ne peut toutefois que constater une grande confusion autour de l’identification de cette base de licéité. Cet élément fait pourtant désormais partie des éléments d’information listés aux articles 13.1 c) et 14.1 c) du RGPD dont il convient d’informer les personnes concernées (voy. infra). De même, sans être obligatoire, cette information peut également figurer dans le Registre des activités de traitement lequel doit être régulièrement mis à jour (art. 30 du RGPD). Des erreurs comme celle intervenue dans le chef des défenderesses pourraient peut-être être ainsi évitées2 . 43. En l’espèce, la Chambre Contentieuse est d’avis que l’erreur dans l’identification et la communication de la base de licéité n’est pas synonyme d’absence de base de licéité au sens de l’article 6 du RGPD. Quant à l’obligation d’information - de la base de licéité notamment (articles 13.1 c) et 14.1 c) du RGPD) - et, plus généralement, quant à la mise en œuvre effective de l’article 24 du RGPD à cet égard, la Chambre Contentieuse renvoie aux points 8.1.1 et 8.1.4. ci-après. 7.3. Quant à la qualification des première et seconde défenderesses 44. La plaignante relève que la première défenderesse déclare avoir mis en place une procédure de gestion des plaintes avec la seconde défenderesse. Aux termes de celle-ci, la seconde défenderesse gère l’ensemble des réclamations ou plaintes dès l’instant où le dossier relatif à celles-ci lui a été transmis et se charge du recouvrement du montant dû. La plaignante estime que « si l’on doit comprendre que la seconde défenderesse intervient comme sous-traitant de la première défenderesse », les prescrits de l’article 28 du RGPD doivent s’appliquer et partant, les défenderesses doivent être en mesure de démontrer leur application effective. 45. La Chambre Contentieuse a, aux termes de l’audition du 13 juillet 2020 (titre 5 ci-dessus), pris note de ce que tant la première défenderesse que la seconde défenderesse se qualifient de responsable de traitement chacune pour les traitements qu’elles opèrent et dont elles déterminent respectivement les finalités et les moyens. 2 Voy. Commission de la protection de la vie privée, Recommandation 06/2017 du 14 juin 2017 relative au Registre des activités de traitement (article 30). Voy. le point 42 de la recommandation https://www.autoriteprotectiondonnees.be/publications/recommandation-n-06-2017.pdf Décision quant au fond 81/2020- 12/45 46. Indépendamment de la qualification que se donnent les parties, laquelle ne la lie pas3 , La Chambre Contentieuse est d’avis, sur la base de la description donnée par les défenderesses de la collaboration mise en place entre-elles, que chacune d’elle est responsable de traitement. Leurs interventions dans le cadre du recouvrement amiable de dettes se succèdent en cette qualité. La Chambre Contentieuse note relève à cet égard que celle collaboration s’appuie, aux dires mêmes des défenderesses, sur la seule base du règlement communal, à l’exception de tout autre document étayant leur collaboration. 47. La Chambre Contentieuse rejette également toute qualification de co-responsables de traitement au sens de l’article 26 du RGPD entre les défenderesses. En effet, la coresponsabilité nécessite une détermination conjointe tant des finalités que des moyens du traitement identifié, ce qui n’est pas le cas en l’espèce.4 Chacune des défenderesses opère successivement des traitements 3 Comité Européen de la Protection des Données (CEPD), Guidelines 07/2020 on the concepts of controller and processor in the GDPR, version 1.0. du 2 septembre 2020. Ces lignes directrices n’existent actuellement qu’en anglais. Elles ont été soumises à consultation publique et sont susceptibles d’être modifiées https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf 4 Idem ci-dessus points 50-55 tout particulièrement et les références citées : 50. The overarching criterion for joint controllership to exist is the joint participation of two or more entities in the determination of the purposes and means of a processing operation. Joint participation can take the form of a common decision taken by two or more entities or result from converging decisions by two or more entities, where the decisions complement each other and are necessary for the processing to take place in such a manner that they have a tangible impact on the determination of the purposes and means of the processing. An important criterion is that the processing would not be possible without both parties’ participation in the sense that the processing by each party is inseparable, i.e. inextricably linked. The joint participation needs to include the determination of purposes on the one hand and the determination of means on the other hand. ( …) 55. It is also important to underline, as clarified by the CJEU, that an entity will be considered as joint controller with the other(s) only in respect of those operations for which it determines, jointly with others, the means and the purposes of the processing. If one of these entities decides alone the purposes and means of operations that precede or are subsequent in the chain of processing, this entity must be considered as the sole controller of this preceding or subsequent operation. Traduction libre par le Secrétariat de l’APD 50. Le critère global déterminant la présence d’une responsabilité conjointe du traitement est la participation conjointe de deux entités ou plus dans la détermination des finalités et des moyens d'une opération de traitement. La participation conjointe peut prendre la forme d'une décision commune prise par deux entités ou plus, ou résulter de décisions convergentes émanant de deux entités ou plus, lorsque ces décisions se complètent mutuellement et sont nécessaires à la réalisation de l'opération de traitement de manière telle qu'elles ont un impact tangible sur la détermination des finalités et des moyens du traitement. Un critère important est que le traitement ne serait pas possible sans la participation des deux parties, en ce sens que le traitement par chaque partie est indissociable, c'est-à-dire que ces traitements sont inextricablement liés. La participation conjointe doit inclure la détermination des finalités, d'une part, et la détermination des moyens, d'autre part. 55. Il est également important de souligner, comme l'a clarifié la CJUE, qu'une entité ne sera considérée comme responsable conjoint du traitement, avec une ou plusieurs autres entités, qu'à l'égard des opérations pour lesquelles elle détermine, conjointement avec les autres entités, les finalités et les moyens du traitement. Si l'une de ces entités décide seule des finalités et des moyens d'opérations antérieures ou postérieures dans la chaîne de traitement, cette entité doit être considérée comme le seul responsable du traitement de cette opération antérieure ou postérieure. Décision quant au fond 81/2020- 13/45 sur des données qui sont certes identiques jusqu’à un certain stade de la procédure (la seconde défenderesse recevant un certain nombre de données de la première défenderesse) sans toutefois déterminer la finalité et les moyens du ou des traitements de manière conjointe. Au contraire, chacune des défenderesses détermine, au départ de la mission qui lui est attribuée (au terme de la concession publique qui lui a été reconnue pour la première défenderesse ; au terme de la loi pour la seconde défenderesse), la finalité et les moyens des traitements qu’il lui incombe d’opérer certes successivement, mais distinctement. 48. La Chambre Contentieuse n’en partage pas moins l’impression de confusion et le manque de clarté à l’égard des personnes concernées relayés par la plaignante. En témoigne notamment la réponse fournie par la seconde défenderesse à une demande d’exercice de ses droits en matière de protection des données adressée par la plaignante auprès de la première défenderesse (points 10 et 14 ci-dessus et 75 ci-dessous). 49. Néanmoins, la seconde défenderesse n’est ni le sous-traitant de la première défenderesse, ni responsable conjoint avec elle. Partant, leur relation ne doit pas être régie par un contrat de soustraitance et aucun manquement à l’article 28 du RGPD ne peut leur être reproché. Leur relation ne doit pas non plus être encadrée par un accord entre-elles comme le requiert l’article 26 du RGPD en cas de responsabilité conjointe. 8. Quant aux manquements 8.1. Quant aux manquements dans le chef de la première défenderesse 8.1.1. Quant au manquement à l’obligation d’information (articles 12 et 14 du RGPD) 50. En sa qualité de responsable de traitement, la première défenderesse est tenue de mettre en œuvre les articles 12, 13 et 14 du RGPD et de pouvoir démontrer cette mise en œuvre effective (articles 5.2. et 24 du RGPD). 51. Aux termes de l’article 12.1 du RGPD, il incombe à la première défenderesse de prendre des mesures appropriées pour fournir toute information visée aux articles 13 et 14 du RGPD d’une façon concise, transparente, compréhensible et aisément accessible en des termes clairs et simples et ce, par écrit ou par d’autres moyens en ce compris électronique. 52. En l’espèce, s’agissant de données qui n’ont pas été recueillies directement auprès de la plaignante, la première défenderesse était tenue de lui fournir une information au regard des Décision quant au fond 81/2020- 14/45 traitements de données opérés la concernant dans le contexte de la perception de la redevance due. Quant au contenu de cette information, conformément à la jurisprudence de la Chambre Contentieuse, les éléments listés tant au § 1er qu’au § 2 de l’article 14 devaient lui être communiqués.5 La Chambre Contentieuse a déjà précisé ci-dessus que ces éléments incluent l’identification exacte de la base de licéité du traitement (article 14.1 c) du RGPD) (point 42 ci-dessus). 53. La Chambre Contentieuse est d’avis qu’à la lumière de la quantité d’informations à fournir à la personne concernée, des responsables du traitement tel les défenderesses devraient adopter une approche à plusieurs niveaux. D’une part, la personne concernée doit d’emblée disposer d’une information claire, accessible sur le fait que des informations sur le traitement de ses données à caractère personnel (politique de confidentialité) existent et du lieu où elle pourra les trouver dans leur intégralité. 54. D’autre part, sans préjudice de l’accessibilité de la politique de confidentialité dans son intégralité, la personne concernée doit, dès la première communication du responsable de traitement avec elle, être informée des détails de la finalité du traitement concerné, de l’identité du responsable du traitement et des droits dont elle dispose. L‘importance de fournir ces informations en amont découle en particulier du considérant 39 du RGPD. Toute information supplémentaire nécessaire pour permettre à la personne concernée de comprendre, à partir des informations fournies à ce premier niveau, quelles seront pour elle les conséquences du traitement en question devra être ajoutée 6 . 55. Aux termes de son rapport d’inspection du 6 janvier 2020, l’Inspecteur général, ainsi qu’il a été rappelé au titre 3, constate, au regard de la politique de confidentialité, que : « La déclaration de vie privée figurant sur le site de la première défenderesse [...] ne concerne en effet pas les données à caractère personnel qu’elle traite à l’occasion du contrôle, de l’envoi du rappel et de la transmission du dossier à l’huissier de justice (seconde défenderesse). Les coordonnées de l’agent de protection de la vie privée de la première défenderesse en charge de traiter les demandes de droit d’accès des personnes concernées ne sont pas mentionnées dans cette déclaration. La première défenderesse ne remplit dès lors pas son obligation de fournir une information aisément accessible notamment par voie électronique aux personnes concernées, prescrite à l’article 12.1. du RGPD ». 5 Groupe de l’Article 29, Lignes directrices sur la transparence au sens du règlement (UE) 2016/679, WP 260, version révisée du 11 avril 2018 (reprises à son compte par le Comité européen de la protection des données): https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227 (point 23). 6 Idem (points 35-38). Décision quant au fond 81/2020- 15/45 56. En d’autres termes, la politique de confidentialité de la première défenderesse ne vise pas les traitements de données mis en cause par la plaignante. En effet, l’Inspecteur général détaille dans son rapport que la politique de confidentialité disponible sur le site de la première défenderesse lors de sa consultation, concernait exclusivement la manière dont les traitements de données « que vous nous transmettez par l’intermédiaire de site et/ou autrement » était opérée (étape 5 du rapport d’inspection). 57. La Chambre Contentieuse constate par ailleurs que le premier courrier de rappel adressé par la première défenderesse à la plaignante le 24 janvier 2019 (point 5 ci-dessus) contient la clause suivante : PRIVACY Vos données à caractère personnel en notre possession ne seront traitées que dans le cadre du présent rappel et, le cas échéant, los de futurs échanges entre vous et nos services à propos du règlement de la redevance concernée. Ces données ne seront conservées que pour la durée correspondante à ce règlement. Conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), vous pouvez librement exercer vos droits et questions en envoyant une demande à [...] ou par courriel [...]. L’agent de la protection de la vie privée vous contactera pour confirmer votre identité et prendre les mesures nécessaires pour répondre à votre demande. 58. Ledit courrier mentionne également le site Internet de la première défenderesse sans référence toutefois à la politique de confidentialité en général ni a fortiori, aux dispositions pertinentes eu égard au rappel envoyé (d’autant que comme mentionné ci-dessus cette politique de confidentialité ne porte pas sur ce type de traitements). La Chambre Contentieuse est d’avis que cette clause ne peut à elle combler l’absence d’information sur les éléments des §§ 1 et 2 de l’article 14 du RGPD (dès lors que comme déjà mentionné, la politique de confidentialité de la première défenderesse ne vise pas les traitements mis en cause). 59. Quant à l’absence de mention des données de contact de l’agent de protection de la vie privée de manière générale également relevé par le rapport d’enquête, la Chambre Contentieuse est d’avis que la communication de coordonnées du DPO ou de toute autre adresse de contact dédiée à l’exercice des droits des personnes concernées s’inscrit dans l’obligation des responsables de traitement de faciliter l’exercice des droits des personnes concernées (article 12.2. du RGPD)7 . 7 Au cours de l’audition du 13 juillet 2020, la première défenderesse a précisé que son agent de protection de la vie privée est en effet un délégué à la protection des données (DPO) au sens de l’article 37 du RGPD. Décision quant au fond 81/2020- 16/45 60. Aux termes de ses conclusions, la première défenderesse indique qu’elle « ne peut que prendre acte de la conclusion du rapport d’enquête qui énonce que « l’information fournie aux personnes concernées sur le site web de [...] est lacunaire ». Elle indique également prendre acte que l’Inspecteur considère que l’information « n’est pas aisément accessible » aux personnes concernées (point 41 des conclusions de la première défenderesse) et prend un certain nombre d’engagements vis-à-vis de l’APD pour y remédier (voy infra au titre 9.1. relatif à la discussion sur les mesures correctrices et sanctions). 61. Quant au moment de l’information, l’article 14.3 du RGPD précise que les éléments listés aux §§ 1 et 2 doivent être fournis dans un délai raisonnable après avoir été obtenus mais au plus tard dans le mois de cette obtention eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées. 62. En l’espèce, la plaignante et la première défenderesse sont en désaccord sur la question de savoir si cette information a été fournie en temps utile. La première défenderesse soutient en effet que des informations se trouvent sur l’invitation à payer adressé à la plaignante ainsi que dans son courrier de rappel (points 4 et 5 ci-dessus). La plaignante affirme n’avoir jamais reçu ni papillon ni courrier de rappel et relève l’absence de preuve de la communication de ces documents – et donc de l’information relative à la protection des données – par la première défenderesse. La première défenderesse renvoie quant à elle également aux informations fournies sur son site Internet, tout en admettant que celle-ci est lacunaire (point 60 ci-dessus). 63. Il n’appartient pas à la Chambre Contentieuse de déterminer la manière dont le manquement aux règles de stationnement doit être porté à la connaissance des contrevenants (papillon, rappel par courrier ordinaire, par courrier recommandé). Il n’en demeure pas moins que l’information sur les traitements de données qui interviennent tant dans le cadre du constat de la violation que de la gestion du recouvrement du montant consécutif à celle-ci, doit être communiquée dans le respect du délai prescrit à l’article 12.3 du RGPD et ce, de manière utile (tenant compte par exemple du délai de paiement donné), soit, en fonction du contexte, sans attendre l’expiration dudit délai. 64. A l’appui des constats qui précèdent et de l’obligation d’information qui pèse sur la première défenderesse, la Chambre Contentieuse constate un manquement à l’article 14.1-2 du RGPD dès lors que la politique de confidentialité de la première défenderesse ne porte pas sur les traitements de données opérés en l’espèce (recouvrement amiable de dettes). La clause « Privacy » figurant sur son courrier de rappel, insuffisante quant à son contenu, n’est pas de nature à y remédier. Ce manquement est par ailleurs combiné à l’article 12.3 du RGPD. La Chambre Contentieuse est à cet égard d’avis que si l’information n’est pas donnée ou est incomplète, a fortiori elle n’a pas été fournie dans le délai Décision quant au fond 81/2020- 17/45 requis. Enfin, ces manquements sont combinés à un manquement à l’article 12.1 du RGPD (défaut d’accessibilité des coordonnées du DPO dans la politique de confidentialité). 8.1.2. Quant au manquement au droit d’accès (article 15 du RGPD) 65. Aux termes de l’article 15 du RGPD, la personne concernée a le droit d’obtenir du responsable de traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès aux dites données à caractère personnel ainsi que les éléments d’information listés aux littéras a) à h) de l’article 15.1. du RGPD. 66. En l’espèce, aux termes de son rapport, l’Inspecteur général fait à cet égard le constat suivant : « Le droit d’accès de Madame X (lisez la plaignante) aux données la concernant traitées par [...] (lisez la première défenderesse) n’a pas été respecté, en contravention avec l’article 15 du RGPD. Pour seule réponse à sa demande d’accès, Madame X (lisez la plaignante) a en effet été renvoyée à deux reprises vers l’huissier de justice (lisez la seconde défenderesse) et une copie du rappel de paiement qu’elle contestait avoir reçu lui a été fournie. A cet égard, il apparait qu’il n‘y a pas de procédure en place afin que le service clientèle de [...] (lisez la première défenderesse) en charge des plaintes fasse parvenir les demandes relatives à l’exercice des droits de la personne concernée à l’agent de protection de la vie privée de [...] (lisez la première défenderesse) ». 67. Aux termes de ses conclusions, la première défenderesse décrit qu’eu égard à la nature de ses activités, elle fait face à un nombre conséquent de réclamations et de plaintes. En pratique, elle y décrit (et confirme lors de l’audition du 13 juillet 2020) que dès qu’il est constaté que le contrevenant n’a pas payé sa redevance dans le délai requis, le dossier est transféré à la seconde défenderesse qui se charge du recouvrement du montant dû. La première défenderesse précise que toute demande effectuée postérieurement à la transmission du dossier à l’huissier doit faire l’objet d’un traitement directement auprès de l’huissier afin d’éviter que des informations contradictoires ne soient transmises au plaignant. Ce qu’elle expose comme étant une procédure organisée avec la seconde défenderesse n’est toutefois, hormis le règlement communal auquel les défenderesses se réfèrent toutes les deux lors de l’audition, pas encadré par une procédure écrite précise et détaillée entre elles (point 46 cidessus). 68. Quant à la gestion des demandes d’exercice de leurs droits en matière de protection des données par les personnes concernées, la première défenderesse expose que leur gestion distincte de celle de gestion des plaintes décrite au point 67 ci-dessus, nécessite qu’un courriel soit envoyé à une adresse e-mail dédiée à ce type de demande, soit l’adresse [...]. Décision quant au fond 81/2020- 18/45 69. La première défenderesse relève à cet égard que la plaignante n’a pas correspondu avec elle via cet e-mail spécifique. La plaignante a dès lors (point 67 ci-dessus), pour seule réponse, été renvoyée vers la seconde défenderesse comme dans le cas d’une réclamation non liée à l’application des droits des personnes concernées en matière de protection des données : « Veuillez-vous adresser à l’huissier » ; et ce dès lors que sa demande était postérieure à la communication du dossier à la seconde défenderesse. 70. Comme le constate l’Inspecteur général dans son rapport, la Chambre Contentieuse relève qu’alors que la demande de la plaignante soulevait des questions de protection des données, il n’y a pas eu de renvoi en interne vers l’agent de protection des données de la première défenderesse. Cette manière de procéder apparait contraire à la clause « Privacy » figurant sur la mise en demeure de la première défenderesse laquelle indique que pour l’exercice de leurs droits en matière de protection des données, les débiteurs sont invités à contacter la première défenderesse (premier interlocuteur « naturel » somme toute), ce qui donne à penser que c’est bien la première défenderesse qui examinera leur demande (point 57 ci-dessus). 71. La seconde défenderesse a, au nom de la première défenderesse, répondu à la plaignante par courrier du 2 avril 2019, soit selon la première défenderesse, dans le délai d’un mois requis par l’article 12.3. du RGPD. Aux termes de ce courrier, la seconde défenderesse lui fournit un certain nombre d’éléments quant aux traitements opérés par la première défenderesse.8 Elle joint également les photographies (point 12) et la lettre de rappel du 24 janvier 2019. 72. Par ailleurs, dans ce même courrier, la seconde défenderesse communique également à la plaignante des éléments relatifs à la demande d’accès qui lui est adressée directement quant à ses propres traitements (voy. infra point 8.2.2.). 73. La Chambre Contentieuse est d’avis que la mise en place de procédures internes et standardisées dédiées à l’exercice des droits des personnes concernées en matière de protection des données est essentielle et de nature à contribuer à l’application effective de ces droits. Elle facilite assurément leur exercice comme le requiert l’article 12.2. du RGPD. Dans une structure telle la première défenderesse, compte tenu du volume de données traitées, la Chambre Contentieuse la juge 8 Extrait de la lettre du 2 avril de la seconde défenderesse : « Quant à notre client, il est mandaté par la ville de [...] pour opérer le recouvrement des redevances de stationnement impayées. Il est inscrit auprès de la Commission de la protection de la vie privée et, à cet effet a reçu le document annexé qui l’autorise à recevoir les données DIV à unique but du recouvrement des redevances impayées. Dans le cadre de son mandat, notre client obtient nom, prénom et adresse afin d’adresser un courrier de rappel. Par la suite si le dossier n’est pas payé, il est transmis à l’étude comme prévu par le règlement communal. D’après lui, ces données sont supprimées à la réception du paiement ». Décision quant au fond 81/2020- 19/45 indispensable. Pour autant, il ne peut être fait grief aux personnes concernées d’utiliser un autre canal de communication pour adresser leurs demandes. Aucune conséquence préjudiciable pour la personne concernée ne peut être tirée du fait – même dans l’hypothèse où elle en aurait correctement été informée – qu’elle n’aurait pas utilisé le formulaire adéquat ou se serait adressée au responsable de traitement par une autre voie, via une adresse e-mail erronée par exemple. Surabondamment, la Chambre Contentieuse est d’avis qu’en l’espèce, la distinction entre « plainte » et « exercice d’un droit d’accès à ses données » dans le contexte d’une demande de paiement d’une redevance de stationnement n’est par ailleurs pas aisée à opérer pour tout citoyen. 74. La Chambre Contentieuse relève donc qu’en toute hypothèse, la première défenderesse ne pourrait se retrancher derrière « l’erreur » qu’elle invoque dans le chef de la plaignante pour considérer qu’elle-même aurait été dispensée de son obligation de réponse à la demande d’exercice du droit d’accès de la plaignante. 75. En l’espèce, chacune des défenderesses étant un responsable distinct (et non des responsables conjoints comme il a déjà été explicité au titre 7.3. ci-dessus), il leur incombe de donner suite à l’exercice des droits des personnes concernées au regard des traitements qu’elles opèrent chacune respectivement. La Chambre Contentieuse ne peut exclure que dans les faits, sans être ni sous-traitants, ni responsables conjoints, des responsables de traitement conviennent entre eux que l‘un répond à la demande d’exercice des droits des personnes concernées au nom de l’autre qui le mandate pour ce faire. Si tel devait être le cas, la procédure mise en place devrait être parfaitement claire et compréhensible pour les personnes concernées qui devront en avoir été informées. En effet, cette manière de procéder est grandement susceptible de prêter à confusion sur le rôle de chacun. En l’espèce, cela a donné à penser à la plaignante que la seconde défenderesse était le sous-traitant de la première défenderesse. En l’espèce, l’interlocuteur premier pour le débiteur de la redevance est, eu égard aux faits et à défaut d’autre information claire, naturellement la première défenderesse. La Chambre Contentieuse note à cet égard que la première défenderesse a indiqué à la Chambre Contentieuse privilégier désormais une réorganisation des procédures qui conserverait en interne la gestion des plaintes relatives aux traitements de données qu’elle opère. 76. La première défenderesse ne peut pas non plus considérer que dès lors que la seconde défenderesse a répondu à la plaignante le 2 avril 2019, elle aurait elle-même été dispensée de le faire sauf à considérer que la seconde défenderesse, mandatée par la première, aurait répondu de manière complète, transparente et conforme à l’article 15 du RGPD quant aux traitements opérés par la première défenderesse, ce qui n’est pas le cas. La seconde défenderesse fournit certes un certain nombre d’éléments mais ceux-ci ne répondent pas tout à fait entièrement aux prescrits de l’article 15.1 du RGPD. Décision quant au fond 81/2020- 20/45 77. La Chambre Contentieuse relève surabondamment que la première défenderesse ne conteste pas son absence de réponse, a fortiori dans le délai requis par l’article 12.3. du RGPD. 78. La Chambre Contentieuse conclut de ce qui précède que la première défenderesse n’a pas fait droit à la demande d’accès de la plaignante de manière satisfaisante et qu’il y a eu manquement dans son chef à l’article 15.1 du RGPD, combiné, a fortiori, à l’article 12.3. du RGPD. La première défenderesse a par ailleurs également manqué à son obligation de faciliter l’exercice des droits des personnes concernées requise par l’article 12.2. du RGPD. 8.1.3. Quant au manquement au principe de minimisation (article 5.1 c) du RGPD) 8.1.3.1. Eu égard à la consultation de la DIV 79. La plaignante reproche à la première défenderesse d’avoir consulté la DIV de manière prématurée le 3 janvier 2019, soit avant l’écoulement du délai qui lui était donné pour s’acquitter spontanément du montant de la redevance réclamée. Cette consultation a, selon elle, dès lors eu lieu en violation du principe de minimisation aux termes duquel « les données à caractère personnel doivent être: c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) » (article 5.1 c) du RGPD). 80. Aux termes de son rapport, l’Inspecteur général conclut à cet égard que « des données à caractère personnel la [soit la plaignante] concernant (nom, prénom et adresse) ont été traitées sans nécessité dans la période pendant laquelle la personne concernée a la possibilité d’acquitter la redevance avant l’envoi d’un rappel envoyé à son nom et à son adresse, ce qui n’est pas conforme avec le principe de minimisation des données prévu à l’article 5.c [lire article 5.1 c)] du RGPD. Suivant l’article [...] du Règlement redevance de la Ville de [...] sur le stationnement horodateurs 2019, ce délai est de 10 jours ». 81. La première défenderesse ne conteste pas que cette consultation de la DIV s’est faite le 3 janvier 2019 à 22h03, soit le lendemain du stationnement en infraction de la plaignante du 2 janvier 2019. Elle expose que dès qu’elle a été informée de ce qu’elle qualifie « d’erreur », elle a immédiatement sollicité une adaptation du système de manière à prendre en compte les délais imposés par les différents règlements communaux et mettre ainsi fin à cette pratique de consultation immédiate de la DIV. La première défenderesse ajoute encore que lorsqu’elle a adressé cette demande à son prestataire informatique, ce dernier l’a informée de ce que le système avait été corrigé dès le 26 août 2019. 82. La Chambre Contentieuse rappelle que l’accès à la DIV est strictement encadré compte tenu de la sensibilité de cette base de données et que seules les instances habilitées sont autorisées à y Décision quant au fond 81/2020- 21/45 accéder. Il incombait à la première défenderesse d’organiser cet accès dans le respect des principes de la protection des données dès la conception et par défaut (article 25 du RGPD) de manière à mettre en œuvre le principe de minimisation des données de manière effective. 83. La Chambre Contentieuse ne peut que constater, à l’appui des pièces produites dans le dossier et du constat de l’Inspecteur général, qu’il y a eu manquement au principe de minimisation prévu à l’article 5.1 c) du RGPD dans le chef de la première défenderesse. 8.1.3.2. Eu égard à la communication des données de la plaignante à la seconde défenderesse 84. S’agissant du transfert des données de la plaignante par la première défenderesse à la seconde défenderesse, la Chambre Contentieuse insiste pour que cette communication n’intervienne que lorsqu’elle est nécessaire à défaut de quoi elle contreviendrait au principe de minimisation. Ainsi, il convient de laisser à la personne concernée le temps qui lui est imparti pour payer la redevance avant de saisir l’huissier de justice. La seconde défenderesse n’est en effet justifiée à intervenir et donc à se voir communiquer les données de débiteurs tels la plaignante, qu’à défaut de paiement dans le délai prévu par le règlement communal d’application. 8.1.3.3. Eu égard à la prise de photographies et leur conservation aux fins de constat de l’infraction 85. Aux termes de ses conclusions, la plaignante reproche également à la première défenderesse de traiter (en ce compris de conserver) un certain nombre de données à caractère personnel la concernant en violation du principe de minimisation et ce, aux fins d’établissement du défaut de paiement de la redevance due. Ainsi, la plaignante estime par exemple que les photographies de son véhicule (en ce compris sa carte professionnelle posée sur l’habitacle, le nom de son garage) n’apportent aucun élément de nature à préciser l’infraction qui lui est reprochée et sont donc sans pertinence. Il en va de même pour la photographie de sa plaque d’immatriculation dont elle s’interroge sur la nécessité du traitement (en ce compris la conservation). 86. La première défenderesse indique aux termes de ses conclusions que ses agents collectent de telles données dans le cadre de l’établissement de l’infraction. Elle doit, en application de l’article 870 du Code judiciaire et compte tenu de la jurisprudence des cours et tribunaux, se ménager la preuve de l’infraction qu’elle allègue devant les juridictions compétentes en la matière. Elle ajoute enfin : « qu’en prenant les photos permettant d’assurer avec certitude qu’aucun ticket ou disque de stationnement ne figure sur le pare-brise du véhicule, que la voiture est stationnée dans un lieu où le stationnement est payant et/ou en zone bleue à une date où la personne concernée doit payer ce stationnement, la concluante ne viole pas le principe de minimisation » (page 14 des conclusions de la première défenderesse). Décision quant au fond 81/2020- 22/45 87. La Chambre Contentieuse rappelle que fut-ce aux fins de se ménager la preuve nécessaire d’un manquement à une règle de stationnement, le responsable de traitement est tenu de respecter l’ensemble des obligations qui lui incombent en application du RGPD pendant toute la durée des traitements (collecte, communication, conservation, …) des données personnelles. Il ne ressort pas de la compétence première de la Chambre Contentieuse de déterminer quelles seraient les preuves suffisantes et pertinentes à présenter aux juridictions compétentes. Il n’en demeure pas moins que dès lors que ces éléments de preuve constituent des données à caractère personnel – dont des images comme en l’espèce – traitées à des fins d’établissement des faits reprochés, ces données doivent être pertinentes au regard de la finalité poursuivie. Sans conclure à un manquement au principe de minimisation dans le chef de la première défenderesse en l’espèce, la Chambre Contentieuse invite cette dernière à y être attentive à l’avenir et à sensibiliser ses préposés qui opèrent les constats sur le terrain à agir avec discernement à cet égard. La Chambre Contentieuse rappelle également le principe selon lequel les données personnelles ne peuvent être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (article 5.1 e) du RGPD). 8.1.4. Quant aux manquements aux articles 5.2. et 24 du RGPD 88. L’article 24.1 du RGPD qui chapeaute le Chapitre IV du RGPD consacré aux obligations des responsables de traitement (et des sous-traitants) et qui traduit le principe énoncé à l’article 5.2. du RGPD, prévoit que « compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés de personnes physiques, le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire. » 89. L’article 24.2. du RGPD précise que lorsque cela est proportionné au regard des activités de traitement, les mesures évoquées à l’article 24.1. du RGPD ci-dessus comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable de traitement. 90. La Chambre Contentieuse est d’avis, au vu de ce qui a été constaté ci-dessus aux titres 8.1.1., 8.1.2. et 8.1.3. , que la première défenderesse était à l’époque des faits en défaut de mettre en œuvre les mesures techniques et organisationnelles adéquates requises par l’article 24.1 et 2 du RGPD pour garantir non seulement un exercice effectif des droits des personnes concernées telles la plaignante – en particulier son droit à l’information et son droit d’accès - ainsi que le respect du principe de minimisation lors de la consultation de la DIV. Décision quant au fond 81/2020- 23/45 91. S’agissant plus particulièrement des droits des personnes concernées, la Chambre Contentieuse insiste sur le fait que le règlement communal, lequel décrit certes la succession des interventions de la première et de la seconde défenderesse dans le cadre du recouvrement amiable de redevance de stationnement, ne peut à lui seul constituer une mesure adéquate au sens de l’article 24 du RGPD. Il ne permet à la première défenderesse ni de s’assurer que le traitement est effectué conformément au RGPD ni de le démontrer. La Chambre Contentieuse n’en prend pas moins acte des engagements pris par la première défenderesse pour se conformer à ses obligation à cet égard (voy. infra titre 9.1.). 8.1.5. Conclusion quant aux manquements de la première défenderesse 92. En conclusion la Chambre Contentieuse constate les manquements suivants dans le chef de la première défenderesse : - un manquement à son obligation d’information (article 14.1-2, combiné à l’article 12.3 et 12.1. du RGPD) - un manquement à son obligation de donner suite à l’exercice du droit d’accès de la plaignante dans le délai légal qui lui est imparti pour ce faire (article 15.1 combiné à l’article 12.3. du RGPD ainsi qu’à l’article 12.2. du RGPD (obligation de facilitation de l’exercice des droits)) - un manquement au principe de minimisation lors de la consultation prématurée de la DIV (article 5.1 c) du RGPD) - un manquement à son obligation de mettre en place les mesures techniques et organisationnelles adéquates qu’exige la mise en œuvre des articles 5.2 et 24. 1-2 du RGPD. 8.2. Quant aux manquements dans le chef de la seconde défenderesse 8.2.1. Quant au manquement à l’obligation d’information (articles 12 et 14 du RGPD) 93. La plaignante reproche à la seconde défenderesse de ne pas l’avoir informée conformément aux prescrits de l’article 14 du RGPD lors de son premier contact avec elle, soit par le biais de la mise en demeure qu’elle lui a adressée le 25 février 2019 (point 7 ci-dessus). 94. La seconde défenderesse considère pour sa part que l’exception prévue à l’article 14.5. c) du RGPD lui est applicable. Elle s’appuie à cet égard sur l’article [...] du règlement communal du [...] reproduit ci-dessous9 : [……] 9 A noter que dans sa mise en demeure du 25 février 2019, la seconde défenderesse évoque un règlement communal (erroné – voy. le titre 7.2. ci-dessus) uniquement en ces termes : « les éventuels frais de recouvrement amiable mis à charge de l’usager le sont conformément à l’article [...] du règlement communal du [...] de la commune de [...] relatif à la redevance sur le stationnement ». Décision quant au fond 81/2020- 24/45 95. La Chambre Contentieuse relève qu’aux termes de l’article 14.5.c) du RGPD, le responsable de traitement est dispensé de son obligation d’information lorsque et dans la mesure où « l'obtention ou la communication des informations sont expressément prévues par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée » 10 . 96. La Chambre Contentieuse note une différence de langue entre la version française et, par exemple, les versions néerlandaise et anglaise de cette disposition. En effet, alors que la version française de l’article 14.5.c) mentionne « lorsque et dans la mesure où l’obtention ou la communication des informations sont expressément prévues par le droit de l’Union ou de l’Etat membre », les versions néerlandaise et anglaise du texte retiennent respectivement les termes suivants : « wanneer en voor zover het verkrijgen of verstrekken van de gegevens uitdrukkelijk is voorgeschreven bij Unierecht of lidstaatelijk recht » et « where and insofar obtaining or disclosure is expressly laid down byUnion or Member State law ». La Chambre Contentieuse est d’avis que c’est bien l’obtention et la communication de données qui doit être prévue par le droit national et ce nonobstant les termes de la version française de l’article 14.5.c) du RGPD. 97. La Chambre Contentieuse estime que la seconde défenderesse ne peut s’appuyer sur la dispense d’information prévue à l’article 14.5 c) du RGPD en l’espèce pour les motifs décrits ci-après. 98. Ce qui est prévu à l’article 14.5. c) du RGPD constitue une exception au droit à l’information. A défaut d’être informée que des traitements de données la concernant sont opérés, la personne concernée est privée d’une information qui lui est en principe spontanément fournie par le responsable de traitement et qui facilite l’exercice de ses autres droits dont elle est par ailleurs informée de l’existence et des modalités d’exercice (article 13.2 b), c) et d) et 14.2 c), d) et e) du RGPD). 99. Cette dispense doit être interprétée de manière restrictive dès lors qu’elle constitue une exception à l’obligation d’information prévue par le droit fondamental à la protection des données11 et ce d’autant plus qu’elle prive, comme déjà mentionné, la personne concernée d’une information sur l’existence et les modalités d’exercice de ses autres droits lesquels ne sont, quant à eux, PAS soumis à la même exception « en cas d’obtention ou communication expressément prévue par la loi ». A titre d’exemple, le droit d’accès (article 15 du RGPD) - qui ouvre à son tour la voie à l’exercice d’autres 10 C’est la Chambre Contentieuse qui souligne. 11 La Chambre Contentieuse rappelle la jurisprudence constante de la Cour de Justice de l’Union européenne qui interprète de manière restrictive les exceptions au droit fondamental à la protection des données : voy. par exemple : C. Docksey and H. Hijmans, The Court of Justice as a Key Player in Privacy and Data Protection, EDPL Review (2019), pp. 300-316, et la jurisprudence citée (notamment, p. 309). Décision quant au fond 81/2020- 25/45 droits tels le droit à la rectification, d’opposition ou encore d’effacement notamment – ne connait pas cette exception (article 15.4. du RGPD). 100. La Chambre Contentieuse constate qu’en l’espèce, comme déjà relevé, le règlement communal invoqué par la seconde défenderesse décrit la succession des interventions de la première et de la seconde défenderesses dans la gestion de la perception des redevances de stationnement (ainsi que les majorations dues à défaut /ou en cas de retard de paiement). En d’autres termes, le règlement communal sur lequel la seconde défenderesse fonde sa dispense d’information n’informe pas quant aux traitements de données opérés en exécution de celui-ci. Tout au plus permet-il de déduire que des informations seront échangées entre la première et la seconde défenderesse dans le contexte d’une infraction aux règles de stationnement dans le but de récupérer la redevance due. L’on conçoit certes que ces interventions induiront obtention et communication de données personnelles. Celles – ci ne sont toutefois pas expressément prévues, tout au plus, peuvent-elles être implicitement déduites. 101. Cette exception ne peut par ailleurs être invoquée que si des garanties appropriées visant à protéger les intérêts légitimes des personnes concernées sont prévues par ladite règlementation. La Chambre Contentieuse estime qu’en l’espèce, ces garanties doivent consister en un ensemble d’informations minimales relatives aux traitements de données lesquelles doivent figurer dans l’acte réglementaire en exécution duquel la communication des informations a lieu. 102. La Chambre Contentieuse est d’avis qu’au minimum, les éléments d’information suivants - inspirés de l’article 23.2. du RGPD - auraient dû y figurer : finalité du traitement, catégories de données à caractère personnel traitées, identité du responsable de traitement, durée de conservation et une référence aux droits des personnes concernées. 103. Ces garanties doivent certes être prévues par le droit national. L’absence de garanties appropriées n’est certes pas imputable à la seconde défenderesse. Il n’en demeure pas moins, qu’aux termes du RGPD, c’est au responsable de traitement qu’il incombe de vérifier si il peut légitimement invoquer l’exception prévue à l’article 14.5.c) du RGPD. La Chambre Contentieuse reconnait qu’en fonction du cas d’espèce et notamment de la qualité du responsable de traitement, cet examen peut ne pas être aisé, en particulier quant à l’existence de garanties appropriées. Toutefois , en l’espèce, le règlement communal que la seconde défenderesse invoque à l’appui de sa dispense n’aborde en aucune manière les aspects de protection des données, ce qui laissait peu de place au doute quant à la question de savoir s’il pouvait légitimer une dispense d’information. L’encadrement légal de la profession d’huissiers et le respect dû à leurs règles déontologiques ne suffisent pas en elles-mêmes à constituer des garanties appropriées en termes de protection des données au sens de l’article 14.5.c) du RGPD. Décision quant au fond 81/2020- 26/45 104. En conclusion, la Chambre Contentieuse constate que la seconde défenderesse, s’appuyant à tort sur la dispense prévue à l’article 14.5 c) du RGPD (dès lors que le règlement communal ne prévoit pas expressément l’obtention et la communication de données et en l’absence de garanties appropriées par ailleurs) a manqué à son obligation d’information contrevenant ainsi à l’article 14.1-2 combiné à l’article 12.3. du RGPD. 105. Aux termes de ses conclusions, la seconde défenderesse indique à la Chambre Contentieuse que dit « si l’exception ne devait pas s’appliquer, elle a pris note que le renvoi vers son site Internet figurant sur ses courriers de mise en demeure ne permet pas, à première vue à tout le moins, d’indiquer aux personnes concernées qu’elles peuvent s’informer directement sur le site Internet de la concluante » (page 9 des conclusions principales de la seconde défenderesse). Elle se propose d’ajouter au renvoi figurant sur son modèle une mention spécifique concernant la protection de la vie privée renvoyant vers son document d’information relatif à la vie privée disponible sur son site. 106. La Chambre Contentieuse est effectivement d’avis que la simple mention d’un site Internet sur un courrier – site sur lequel une déclaration de confidentialité peut être consultée – ne constitue pas une information conforme aux prescrits du RGPD. Au minimum, une clause « protection des données » reprenant les éléments essentiels des traitements concernés et un renvoi explicite vers la politique de confidentialité ( partie pertinente le cas échéant) disponible sur le site pour le surplus doit être prévu. La Chambre Contentieuse revoie à cet égard à ce qu’elle a indiqué ci-dessus à l’égard de la clause « Privacy » de la première défenderesse (points 57 et suivants). 107. La Chambre Contentieuse tient par ailleurs à préciser ce qui suit. Dans le cadre de son argumentation, la seconde défenderesse conclut que le RGPD n’impose pas au responsable de traitement de communiquer aux personnes concernées les références de l’acte normatif à l’appui duquel il considère être dispensé de son obligation d’information. Cependant, à défaut de toute information à cet égard, il est illusoire de penser que les personnes concernées chercheront (et trouveront) l’acte normatif en question contenant les garanties requises et leur permettant de s’informer. La Chambre Contentieuse estime qu’il serait, lorsque cette dispense d’information peut être invoquée (quod non en l’espèce), de bonne pratique de communiquer cette référence. 8.2.2. Quant au manquement au droit d’accès (article 15 du RGPD) 108. Comme la Chambre Contentieuse l’a rappelé ci-dessus au regard des obligations de la première défenderesse, la personne concernée a le droit d’obtenir du responsable de traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès aux dites données à caractère personnel ainsi que les éléments d’information listés aux littéras a) à h) de l’article 15.1. du RGPD. Décision quant au fond 81/2020- 27/45 109. La plaignante fait état d’une réponse parcellaire à la demande de droit d’accès qu’elle a adressée à la seconde défenderesse. Elle est d’avis qu’elle n’a pas été informée complétement relativement à la source des données. 110. La seconde défenderesse souligne qu’en page 3 de son courrier en réponse du 2 avril 2019, elle a précisé qu’elle était mandatée par la première défenderesse qui lui avait communiqué les données de la plaignante et du dossier. 111. A l’appui des pièces produites, la Chambre Contentieuse n’est pas en mesure de conclure à un manquement à l’article 15 du RGPD dans le chef de la seconde défenderesse. 8.2.3. Quant au manquement aux principes de proportionnalité et réutilisation illégale des données (articles 5 et 6 du RGPD) qui lui sont communiquées par la première défenderesse alors même qu’elle n’y serait pas valablement fondée 112. La Chambre Contentieuse relève que la plaignante considère que la seconde défenderesse effectue des traitements de données illégaux lorsqu’elle collecte et enregistre les données relatives à son véhicule (photos du pare-brise et photo générale du véhicule qui lui sont transmises par la première défenderesse). La Chambre Contentieuse renvoie à cet égard aux considérations qu’elle a énoncées au titre 8.1.3.3. ci-dessus au regard de ce grief également reproché à la première défenderesse. 113. La Chambre Contentieuse ne retient aucun manquement dans le chef de la seconde défenderesse à cet égard. 8.2.4. Quant au formulaire de demande de paiement et l’obtention d’un co..nsentement forcé (article 6.1 a) du RGPD – article 5.1 c) du RGPD) 114. Le 25 février 2019, la plaignante s’est vue adresser par la seconde défenderesse une mise en demeure de payer le montant de la redevance de […] euros ([…] +5) majorée des frais de sommation et d’un droit d’encaissement, portant le montant réclamé à la somme de […] euros (point 7 ci-dessus). 115. Un formulaire était joint à cette mise en demeure, intitulé « Formulaire à nous retourner » imprimé en lettres plus grandes, encadré et immédiatement suivi de la mention suivante, en gras souligné : « Seul ce formulaire dûment complété ainsi que ses annexes seront pris en compte pour le traitement de votre demande de paiement ou votre contestation ». 116. Les données suivantes sont demandées aux termes de ce formulaire : nom, prénom, date de naissance, adresse, code postal et localité, numéro de téléphone, numéro de GSM, adresse e-mail. Décision quant au fond 81/2020- 28/45 Trois choix en termes de propositions de paiement sont par ailleurs mentionnés aux termes desquels le débiteur - (1) s’engage à payer la totalité du montant à une date à mentionner, ou - (2) sollicite un plan d’apurement ou - (3) indique être dans l’impossibilité de payer le montant. 117. A titre liminaire, la Chambre Contentieuse note que la plaignante dénonce l’utilisation de ce formulaire par la seconde défenderesse sans qu’il soit établi qu’elle l’ait elle-même complété. Il n’y a donc pas eu, à strictement parler, de « traitement de données à caractère personnel » de la plaignante via ce formulaire. Le refus de compléter un formulaire qui s’avère contraire à la loi (ainsi qu’il sera démontré ci-dessous), ne peut cependant résulter en une situation aux termes de laquelle la Chambre Contentieuse ne pourrait exercer les missions et les pouvoirs que lui confèrent les articles 57 et 58 du RGPD et la LCA au regard d’une pratique qui implique des traitements de données soumis au RGPD . La Chambre contentieuse est, partant, indépendamment de la question de savoir s’il y a manquement à l’égard de la plaignante, habilitée à examiner ce grief au regard duquel la seconde défenderesse a par ailleurs eu l’occasion de se défendre. 118. La plaignante estime que compte tenu de la formulation du formulaire, de sa présentation, de son contenu et du fait qu’il constitue une annexe à une mise en demeure de paiement, il ne peut être considéré que le consentement de la personne concernée à fournir les données mentionnées sur ce formulaire serait libre. La plaignante est également d’avis que la collecte de données via ce formulaire méconnait le principe de minimisation. 119. La seconde défenderesse avance, a contrario, que ce formulaire permet aux personnes concernées de faire entendre leur contestation ou leur souhait de bénéficier d’un plan d’apurement. La seconde défenderesse ajoute que l’objectif du formulaire est clairement énoncé dans la mise en demeure dont il constitue une annexe et qu’aucune obligation pour la personne concernée ne peut être déduite de cette formulation. Partant, elle peut légitimement s’appuyer sur l’article 6.1 a) du RGPD pour recueillir lesdites données et opérer les traitements subséquents. La mise en demeure énonce que la consultation du dossier et les demandes d’apurement et/ou paiement en ligne peuvent se faire via le site ou par e-mail et que des informations complémentaires peuvent être obtenues via le formulaire. 120. Quant au principe de minimisation, la seconde défenderesse expose que le formulaire permet, en proposant aux personnes concernées différentes possibilités (adresse postale, numéro de téléphone, numéro de téléphone portable, adresse e-mail) de choisir le mode de communication et les données de contact nécessaires à cet effet sans qu’il y ait ni obligation de compléter le formulaire Décision quant au fond 81/2020- 29/45 (point 119 ci-dessus), ni – dans l’hypothèse où le débiteur souhaiterait en faire usage – obligation de fournir de données pour chacune des rubriques dudit formulaire. 121. La Chambre Contentieuse rappelle que l’article 4.11. du RGPD définit le consentement de la personne concernée comme étant « toute manifestation de volonté, libre 12 , spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement.» Le consentement qui fonde un traitement de données en application de l’article 6.1. a) du RGPD doit satisfaire à toutes les qualités requises par cette définition. 122. L’adjectif «libre» implique un choix et un contrôle réel pour les personnes concernées. Le consentement ne peut être valable que si la personne concernée est véritablement en mesure d’exercer un choix et s’il n’y a pas de risque de tromperie, d’intimidation, de coercition ou de conséquences négatives importantes (par ex. coûts supplémentaires importants) si elle ne donne pas son consentement. Le consentement ne sera pas libre lorsque tout élément de contrainte, de pression ou d’incapacité d’exercer un véritable choix sera présent. Le consentement ne sera par conséquent pas considéré comme étant donné librement si la personne concernée n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice. Le responsable du traitement doit par ailleurs démontrer qu’il est possible de refuser ou de retirer son consentement sans subir de préjudice (considérant 42 du RGPD).13 123. Au moment de déterminer si le consentement est donné librement, il y a dès lors lieu de tenir compte d’un éventuel déséquilibre des rapports de force entre la personne concernée et le responsable de traitement. Le considérant 43 du RGPD indique clairement qu’il n’est pas probable que des autorités publiques puissent se fonder sur le consentement pour le traitement de données à caractère personnel, dès lors que lorsque le responsable du traitement est une autorité publique, il existe souvent un déséquilibre manifeste des rapports de force entre le responsable du traitement et la personne concernée. 124. Toutefois, les déséquilibres de rapports de force ne se limitent pas aux autorités publiques (et aux employeurs vis-à-vis desquels ce déséquilibre existe également le plus souvent). Ces déséquilibres peuvent également exister dans d’autres situations dans lesquelles, comme mentionné ci-dessus (point 12 C’est la Chambre Contentieuse qui souligne. 13 Comité européen de la protection des données, Lignes directrices 05/2020 sur le consentement au sens du règlement(UE) 2016/679 (points 121- 123) : https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf Décision quant au fond 81/2020- 30/45 122), il y a tromperie, intimidation, coercition ou toute conséquence négative importante si la personne concernée refuse de donner son consentement. 125. En l’espèce, la Chambre Contentieuse relève que le formulaire joint à la mise en demeure s’intitule « Formulaire à nous retourner » et mentionne que seul le formulaire dûment complété ainsi que ses annexes seront pris en compte pour le traitement des demandes de paiement ou contestations. 126. La Chambre Contentieuse est d’avis que l’utilisation de termes tels que « seul le formulaire » « dûment complété », combiné au titre du formulaire et au fait qu’il émane d’une étude d’huissiers de justice et est joint à une mise en demeure aux termes de laquelle il est précisé qu’défaut de paiement dans le délai une majoration du montant sera appliquée, peut raisonnablement donner à penser qu’il n’’y a pas d’alternative à la fourniture par le débiteur des informations demandées. Le fait que parmi les propositions de paiement, celui-ci soit invité à mentionner la date à laquelle il effectuera le paiement est de nature à donner à penser que le formulaire doit être complété en toute hypothèse (et non uniquement en cas de demande d’échelonnement du paiement ou de contestation). La mention dans la lettre de mise en demeure déjà citée « Si vous souhaitez obtenir des informations complémentaires, nous vous invitons à vous servir du formulaire en annexe » ne permet pas d’infirmer ce qui précède. 127. A l’appui de ce qui précède, la Chambre Contentieuse constate que le consentement tel que demandé par la seconde défenderesse ne peut être qualifié de libre et ce, en contradiction avec l’article 4.11 du RGPD. Partant, la seconde défenderesse ne peut, en l’état, s’appuyer sur celui-ci au titre de base de licéité (article 6.1 a) du RGPD). La Chambre Contentieuse relève également que la « Politique Vie privée » de la seconde défenderesse ne liste pas le consentement au titre des bases de licéité utilisées (article 6 du RGPD). 128. En conclusion sur ce point, la Chambre Contentieuse conclut à un manquement à l’article 6 du RGPD. La Chambre Contentieuse ne se prononce pas sur l’existence d’une éventuelle autre base de licéité qui pourrait légitimer le traitement de tout ou partie des données visées par le formulaire par la seconde défenderesse. Il appartient en effet au responsable de traitement qui entreprend des activités de traitement de données personnelles (soit en l’espèce la seconde défenderesse) d’examiner, avant de débuter l’activité de traitement en question, quelle serait, parmi les 6 bases de licéité listées à l’article 6 du RGPD, la base juridique appropriée pour le traitement envisagé. La Chambre Contentieuse insiste à cet égard sur le fait que si un responsable du traitement choisit de se fonder sur le consentement, il doit être prêt à respecter ce choix. Autrement dit, le responsable du traitement ne peut passer du consentement à une autre base juridique. Par exemple, il n’est pas autorisé à utiliser rétroactivement la base juridique de l’intérêt légitime (article 6.1 f) du RGPD) afin de justifier le Décision quant au fond 81/2020- 31/45 traitement lorsque des problèmes sont rencontrés ou soulevés concernant la validité du consentement14. Partant, sans affirmer ni infirmer l’existence d’une éventuelle autre base de licéité admissible, la Chambre Contentieuse ne peut, en l’espèce, que conclure à l’absence de base de licéité valable - le consentement utilisé ne pouvant être retenu comme il a été démontré ci-dessus - et donc à un manquement à l’article 6 du RGPD dans le chef de la seconde défenderesse. 129. La Chambre Contentieuse rappelle par ailleurs que l’article 7.2 du RGPD requiert que lorsque le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement soit présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. 130. De même, la Chambre Contentieuse rappelle que pour être valable, le consentement doit également être éclairé. Pour que le consentement soit considéré comme éclairé, il faut que le responsable de traitement fournisse certaines informations à la personne concernée, sous une forme compréhensible et aisément accessible. Le considérant 42 du RGPD exige que la personne concernée ait, au minimum, connaissance de l’identité du responsable de traitement et des finalités du traitement auquel sont destinées ces données à caractère personnel. 131. La Chambre Contentieuse estime que d’autres éléments sont également cruciaux pour que la personne concernée puisse se décider en connaissance de cause et que son consentement soit valable. Il convient que le responsable de traitement apporte des informations sur le type de données visées par le traitement envisagé, sur l’existence d’un droit de retirer son consentement (art. 7.3 du RGPD), sur l’utilisation éventuelle des données pour une prise de décision automatisée (art. 22.2 c) du RGPD) et, le cas échéant, sur les risques liés au transfert des données vers un pays n’offrant pas de protection adéquate et en l’absence de garanties appropriées (art. 49.1 a) du RGPD)15 . 132. La Chambre Contentieuse est d’avis que, quelle que soit la base de licéité sur laquelle la seconde défenderesse entendrait se fonder à l’avenir, la mise en demeure devrait inclure une information sous forme de clause spécifique reprenant à la fois les éléments requis pour un consentement éclairé le cas échéant, et une information succincte directement utile au regard du/des traitement(s) concerné(s) (point 106 ci-dessus). 14 Comité européen de la protection des données, Lignes directrices 05/2020 sur le consentement au sens du règlement(UE) 2016/679 (points 121-123) : https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf 15 Comité européen de la protection des données, Lignes directrices 05/2020 sur le consentement au sens du règlement 2016/679 (point 3.3. pp. 17 et s. de la version française) : https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_fr.pdf Décision quant au fond 81/2020- 32/45 133. Quant au respect du principe de minimisation (article 5.1 c) du RGPD), la Chambre Contentieuse relève également qu’au regard des différentes données demandées au titre de « Vos coordonnées », aucun astérisque ou autre mention n’indique que la personne concernée est libre de choisir un des modes de communication (numéro de téléphone, numéro de GSM, adresse e-mail) et que certaines données sont donc facultatives. Prises isolément, ces données apparaissent pertinentes et non excessives mais ici aussi, la présentation et la formulation utilisée donnent à penser qu’il n’y a pas d’alternative à la collecte de toutes les informations au regard de chaque rubrique du tableau. 134. La Chambre Contentieuse conclut dès lors à un manquement à l’article 5.1 c) du RGPD dans le chef de la seconde défenderesse. 8.2.5. Quant au respect des articles 5.2. et 24 du RGPD 135. A l’appui des manquements retenus ci-dessus (8.2.1. et 8.2.4.), la Chambre Contentieuse est d’avis que la seconde défenderesse est en défaut d’avoir mis en œuvre les mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que les traitements de données qu’elle opère sont, compte tenu tout particulièrement de leur nature, du contexte et des finalités qu’ils poursuivent, effectués conformément au RGPD. 136. La Chambre Contentieuse conclut dès lors à un manquement aux articles 5.2. et 24. 1-2 du RGPD dans le chef de la seconde défenderesse. 8.2.6. Conclusion quant aux manquements de la seconde défenderesse 137. En conclusion, les manquements suivants sont constatés à l’égard de la seconde défenderesse : - un manquement à son obligation d’information (article 14.1-2, combiné à l’article 12.3. du RGPD) - un défaut de base légale en ce qui concerne le recueil de données aux termes du formulaire accompagnant la mise en demeure de paiement (article 6 du RGPD) et un manquement au principe de minimisation (article 5.1 c) du RGPD) compte tenu du caractère excessif des données demandées. - un manquement aux articles 5.2. et 24. 1-2 du RGPD. 9. Quant aux mesures correctrices et aux sanctions 138. Aux termes de l’article 100 LCA, la Chambre Contentieuse a le pouvoir de : 1° classer la plainte sans suite ; Décision quant au fond 81/2020- 33/45 2° ordonner le non-lieu ; 3° prononcer une suspension du prononcé ; 4° proposer une transaction ; 5° formuler des avertissements ou des réprimandes ; 6° ordonner de se conformer aux demandes de la personne concernée d'exercer ces droits; 7° ordonner que l'intéressé soit informé du problème de sécurité; 8° ordonner le gel, la limitation ou l'interdiction temporaire ou définitive du traitement; 9° ordonner une mise en conformité du traitement; 10° ordonner la rectification, la restriction ou l'effacement des données et la notification de celles-ci aux récipiendaires des données; 11° ordonner le retrait de l'agréation des organismes de certification; 12° donner des astreintes; 13° donner des amendes administratives; 14° ordonner la suspension des flux transfrontières de données vers un autre Etat ou un organisme international; 15° transmettre le dossier au parquet du Procureur du Roi de Bruxelles, qui l'informe des suites données au dossier; 16° décider au cas par cas de publier ses décisions sur le site internet de l'Autorité de protection des données. 139. Quant à l’amende administrative qui peut être imposée en exécution de l’ articles 83 du RGPD et des articles 100, 13° et 101 LCA, l’article 83 du RGPD prévoit : « Article 83 RGPD 1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement, visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives. 2. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l'article 58, paragraphe 2, points a) à h), et j). Pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de l'amende administrative, il est dûment tenu compte, dans chaque cas d'espèce, des éléments suivants : a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi; b) le fait que la violation a été commise délibérément ou par négligence ; c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées; Décision quant au fond 81/2020- 34/45 d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en œuvre en vertu des articles 25 et 32; e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant; f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs; g) les catégories de données à caractère personnel concernées par la violation; h) la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation; i) lorsque des mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures; j) l'application de codes de conduite approuvés en application de l'article 40 ou de mécanismes de certification approuvés en application de l'article 42; et k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation. 140. ll importe de contextualiser les manquements dont chacune des défenderesses s’est rendue responsable en vue d’identifier les mesures correctrices et sanctions les plus adaptées. 141. Dans ce cadre, la Chambre Contentieuse tiendra compte de l’ensemble des circonstances de l’espèce, en ce compris - dans les limites qu’elle précise ci-après - de la réaction communiquée par chacune des défenderesses au montant d’amende envisagée qui lui a été communiqué (point I – rétroactes de la procédure)16. A cet égard, la Chambre Contentieuse précise que ledit formulaire mentionne expressément qu’il n’implique pas de réouverture des débats. Il poursuit comme seul but de recueillir la réaction des défenderesses sur le montant de l’amende envisagée. Eu égard aux nouvelles pièces produites attestant des modifications intervenues ou en projet depuis l’audition, la Chambre Contentieuse en tiendra compte au titre des engagements - par ailleurs déjà formulés par chacune des parties via leurs conclusions - à se mettre en conformité (points 160 et 179 ci-dessous) sans toutefois en analyser le contenu à ce stade. 142. La Chambre Contentieuse tient également à préciser qu’à l’exception de la démarche évoquée ci-dessus (point 141), il lui appartient souverainement en qualité d’autorité administrative 16 Voy. à cet égard : Cour d’appel de Bruxelles (19ème chambre A – Cour des marchés), arrêt du 19 février 2020, 2019/AR/1600 et Cour d’appel de Bruxelles (19ème chambre A – Cour des marchés), arrêt du 2 septembre 2020, 2020/AR/329 (disponibles uniquement en néerlandais). Décision quant au fond 81/2020- 35/45 indépendante - dans le respect des articles pertinents du RGPD et de la LCA - de déterminer la/les mesure(s) correctrice(s) et sanction(s) appropriée(s). 143. Ainsi, il n’appartient pas au plaignant de solliciter de la Chambre Contentieuse quelle ordonne telle ou telle mesure correctrice ou sanction. Si, nonobstant ce qui précède, le/la plaignant(e) devait néanmoins demander à la Chambre Contentieuse qu’elle prononce l’une ou l’autre mesure et/ou sanction, il n’incombe pas dès lors à cette dernière de motiver pourquoi elle ne retiendrait pas l’une ou l’autre demande formulée par le/la plaignant(e). Ces considérations laissent intacte l’obligation pour la Chambre Contentieuse de motiver le choix des mesure et sanction auxquelles elle juge, (parmi la liste des mesures et sanctions mises à sa disposition par les articles 58 du RGPD et 95.1 et 100.1 de la LCA) approprié de condamner la partie mise en cause. 144. En l’espèce, la Chambre Contentieuse relève que la plaignante sollicite notamment de la Chambre Contentieuse qu’elle ordonne une mise en conformité sous peine d’astreinte. Sans préjudice de ce qui précède, mais dès lors qu’elle vient de publier sa politique à cet égard, la Chambre Contentieuse renvoie sur ce point à la publication désormais disponible sur son site Internet17 . 145. S’agissant de l’amende administrative, la Chambre Contentieuse souligne qu’elle a pour but de faire appliquer efficacement les règles du RGPD. D’autres mesures, telles l’ordre de mise en conformité ou l’interdiction de poursuivre certains traitements par exemple, permettent quant à elles de mettre fin à un manquement constaté. Comme cela ressort du considérant 148 du RGPD, les sanctions, y compris les amendes administratives, sont infligées en cas de violations sérieuses, en complément ou à la place des mesures appropriées qui s’imposent. Dès lors, l’amende administrative peut assurément venir sanctionner un manquement grave auquel il aurait été remédié en cours de procédure ou qui serait sur le point de l’être. Il n’en demeure pas moins que la Chambre Contentieuse tiendra compte de ce qu’il aura été mis fin ou de ce qu’il est en voie d’être remédié aux dits manquements dans la fixation du montant de l’amende. 9.1. Quant à la première défenderesse 146. La Chambre Contentieuse a constaté un manquement aux articles 14. 1-2 combiné à l’article 12.1 et 12.3, 15.1 combiné à l’article 12.3 et à l’article 12.2., 5.1 c) et 5.2. 24. 1-2 du RGPD (point 92 ci-dessus). 17 Voy. sur le site Internet de l’APD, Rubrique l’Autorité – Organisation – Chambre Contentieuse : https://www.autoriteprotectiondonnees.be/citoyen/l-autorite/organisation et https://www.autoriteprotectiondonnees.be/professionnel/l-autorite/organisation Décision quant au fond 81/2020- 36/45 147. Compte tenu du constat de ces manquements, la Chambre Contentieuse adresse à la première défenderesse une réprimande sur la base de l’article 100. 1, 5° LCA. 148. La Chambre Contentieuse prend par ailleurs acte du fait que la première défenderesse a, sans attendre la décision de la Chambre Contentieuse, dès ses conclusions et lors de l’audition, pris un certain nombre d’engagements pour remédier aux manquements relevés par l’Inspecteur général dans son rapport. La Chambre Contentieuse est d’avis qu’un certain nombre de modifications et de mesures doivent en effet, le plus rapidement possible, être apportées par la première défenderesse pour se mettre en conformité avec ses obligations découlant du RGPD. Partant, la Chambre Contentieuse lui impose un ordre de mise en conformité détaillé au dispositif en application de l’article 100. 1, 9° LCA (voy. à cet égard la précision au point 141 ci-dessus). 149. Outre cette réprimande18 et cet ordre de mise en conformité, la Chambre Contentieuse est d’avis qu’en complément, une amende administrative est en l’espèce justifiée pour les motifs ci-après. 150. Quant à la nature de la violation, la Chambre Contentieuse relève qu’en ce qui concerne le manquement à l’article 5.1 c) du RGPD, il est constitutif d’un manquement à l’un des principes fondateurs du RGPD (et du droit de la protection des données en général), soit au principe de minimisation consacré au Chapitre II « Principes » du RGPD. 151. Quant aux manquements à l’article 14. 1-2 combiné à l’article 12.3 et 12.1 du RGPD, à l’article 15. 1 du RGPD (combiné à l’article 12.3 et à l’article 12.2. du RGPD), ils sont constitutifs d’atteintes aux droits des personnes concernées. Ces droits d’information et d’accès ont par ailleurs été renforcés aux termes du RGPD, ce qui témoigne de leur importance toute particulière. L’Autorité de protection des données a, dans cette perspective, inscrit le respect de ceux – ci au titre de priorité dans son plan stratégique 2020-2025.19 La mesure correctrice/sanction appropriée n’en est pas moins déterminée au cas par cas. 152. Enfin, quant au manquement à l’article 5.2. et 24. 1-2 du RGPD, il est lui aussi constitutif d’un manquement au principe clé de l’accountability, introduit par le RGPD. 18 La Chambre Contentieuse entend ici clarifier la distinction entre avertissement et réprimande : l’avertissement est destiné à avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du RGPD (article 58.2 a) du RGPD, article 95.1, 4° et article 100.1, 5° LCA). La réprimande (ou rappel à l’ordre) vise à rappeler à l’ordre un responsable de traitement ou un sous-traitant lorsque les opérations de traitement ont entraîné une violation des dispositions du RGPD (article 58.2 b) du RGPD et article 100.1, 5° LCA). 19 Autorité de protection des données (APD), Plan stratégique 2020-2025: https://www.autoriteprotectiondonnees.be/publications/plan-strategique-2020-2025.pdf Décision quant au fond 81/2020- 37/45 153. Aux termes de l’article 83.5 a) du RGPD, les violations de toutes ces dispositions peuvent s’élever jusqu’à 20.000.000 d’euros ou dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaire annuel mondial total de l‘exercice précédent. Les montants maxima d’amende pouvant être appliqués en cas de violation de ces dispositions sont supérieurs à ceux prévus pour d’autres types de manquements listés à l’article 83.4. du RGPD. S’agissant de manquements à un droit fondamental, consacré à l’article 8 de la Charte des droits fondamentaux de l’Union européenne, l’appréciation de leur gravité se fera, comme la Chambre Contentieuse a déjà eu l’occasion de le souligner, à l’appui de l’article 83.2.a) du RGPD, de manière autonome20 . 154 Il a déjà été relevé que dans le cadre de l’inspection, les courriers en réponse adressés à l’inspecteur général étaient signés du groupe [...]. Lors de l’audition du 13 juillet 2020, la première défenderesse a confirmé faire partie de ce groupe. 155 Dans sa détermination du montant de l’amende, la Chambre contentieuse tient compte de la notion d’entreprise (article 83. 5 du RGPD). La Chambre Contentieuse tient également compte de l’opinion du Comité Européen de la Protection des données dont elle retient tout particulièrement ce qui suit: « Pour infliger des amendes effectives, proportionnées et dissuasives, les autorités de contrôle s’en remettront à la définition de la notion d’entreprise fournie par la CJUE aux fins de l’application des articles 101 et 102 du traité FUE, à savoir que la notion d’entreprise doit s’entendre comme une unité économique pouvant être formée par la société mère et toutes les filiales concernées. Conformément au droit et à la jurisprudence de l’Union, il y a lieu d’entendre par entreprise l’unité économique engagée dans des activités commerciales ou économiques, quelle que soit la personne morale impliquée (considérant 150). » 21 156. Quant au nombre de personnes concernées affectées par les violations, la Chambre Contentieuse relève que les manquements constatés concernent, au-delà de la seule plaignante, un grand nombre de personnes. En effet, la première défenderesse est titulaire de concessions de stationnement dans […] communes. Les manquements constatés s’inscrivent dans la pratique quotidienne de la première défenderesse et sont consécutifs à l’absence de mise en place de 20 Voy. à cet égard la décision 64/2020 de la Chambre Contentieuse (point 54) : https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-64-2020.pdf 21 Comité européen de la protection des données, Lignes directrices sur l’application et la fixation des amendes administratives aux fins du règlement (UE) 2016/679, WP 253, adoptées le 3 octobre 2017, p. 6, disponible sur www.edpb.europa.eu. Voir également, la décision 37/2020 de la Chambre contentieuse. Décision quant au fond 81/2020- 38/45 procédures effectives d’exercice des droits notamment. Le nombre de personnes concernées est donc élevé. 157. Quant à la qualité de la première défenderesse, la Chambre Contentieuse rappelle que dans de précédentes décisions22, elle a déjà retenu la qualité de mandataire public du responsable de traitement comme un facteur aggravant au sens de l’article 83.2. k) du RGPD. Sans constituer un mandataire public au sens strict du terme, la première défenderesse n’en exercice pas moins une compétence publique qui lui a été confiée par voie de concession. A ce titre, elle se doit d’adopter une attitude exemplaire. Le contexte « infractionnel » dans le cadre duquel interviennent les traitements de données qu’elle opère exige, eu égard à leur finalité, également un respect tout particulièrement rigoureux des droits des personnes concernées. Le traitement de données constitue par ailleurs une part substantielle de l’activité de la première défenderesse. 158. Quant au critère de durée, la Chambre Contentieuse constate que ces manquements ont duré dans le temps (article 83. 1 a) du RGPD), à tout le moins depuis le 25 mai 2018, sauf pour ce qui est du manquement à l’article 5.1 c) du RGPD plus circonscrit dans le temps. 159. Quant à la question de savoir si les manquements ont été commis délibérément ou non (par négligence) (art. 83.2.b) du RGPD), la Chambre Contentieuse rappelle que «non délibérément» signifie qu’il n’y a pas eu d’intention de commettre la violation, bien que le responsable du traitement ou le sous-traitant n’ait pas respecté l’obligation de diligence qui lui incombe en vertu de la législation. En l’espèce, la Chambre Contentieuse est d’avis que les faits et les manquements constatés - fussent-ils graves - ne traduisent pas une intention délibérée de violer le RGPD dans le chef de la première défenderesse. 160. La Chambre Contentieuse relève enfin que la première défenderesse a coopéré avec l’APD tout au long de la procédure (article 83.2. f) du RGPD), en particulier avec l’Inspection, et admet que la gestion du cas de la plaignante lui impose d’apporter des améliorations conséquentes à son fonctionnement actuel eu égard aux droits des personnes concernées. La première défenderesse a, comme déjà souligné, par ailleurs pris un certain nombre d’engagements de mise en conformité à cet égard23 . 22 Voy. la décision 10/2019 de la Chambre Contentieuse (page 12) https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-10-2019.pdf ainsi que sa décision 11/2019 (page 10) https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n11-2019.pdf 23 Quant à l’information, la première défenderesse prend un certain nombre d’engagements vis-à-vis de l’APD, dont les termes sont reproduits ci-dessous (points 42 à 45 des conclusions de la première défenderesse) : 42. La concluante a pris conscience que l’information fournie n’était pas suffisante au regard des obligations qui lui incombent. La concluante s’engage donc à fournir à l’Autorité de Protection des Décision quant au fond 81/2020- 39/45 161. La Chambre Contentieuse constate que les autres critères de l’article 83.2. du RGPD ne sont ni pertinents ni susceptibles d’influer sur sa décision quant à l’imposition d’une amende administrative et son montant. 162. En conclusion, au regard des éléments développés ci-dessus propres à cette affaire, la Chambre Contentieuse estime que les faits constatés et le manquement aux articles 14.1-2 combiné à l’article 12.1 et 12.3, 15.1 combiné à l’article 12.3 et 12.2., 5.1 c) et 5.2. et 24.1-2 du RGPD, justifient qu’au titre de sanction effective, proportionnée et dissuasive telle que prévue à l’article 83 du RGPD et compte tenu des facteurs d’appréciation listés à l’article 83.2. du RGPD et de la réaction de la première défenderesse au formulaire d’amende envisagée, une réprimande (article 100.1, 5° LCA) et un ordre de mise en conformité détaillé ci-dessous (article 100.1, 9° LCA) assortis d’une amende administrative d’un montant de 50.000 euros (article 100.1, 13° et 101 LCA) soient prononcés à l’encontre de la première défenderesse. 163. Dans la fixation de ce montant, la Chambre Contentieuse a tenu compte de ce que la première défenderesse fait partie du groupe [...], du chiffre d’affaire annuel de ce groupe et de l’assise financière de ce dernier. Elle a également tenu compte de l’information donnée par la première défenderesse dans sa réaction au formulaire d’amende envisagée selon laquelle le groupe connait une nette diminution de ses recettes dans le contexte actuel de la pandémie du virus du covid-19. 164. Le montant de 50.000 euros demeure eu égard à ces éléments proportionné aux manquements dénoncés. La Chambre Contentieuse est d’avis qu’un montant d’amende inférieur à 50.000 euros ne rencontrerait pas, en l’espèce, les critères requis par l’article 83.1. du RGPD selon lesquels l’amende administrative doit être effective, proportionnée et dissuasive. Dans sa décision 01/2020 du 9 novembre 2020, le Comité européen de la protection des données insiste à cet égard Données, dans les meilleurs délais, un document d’information qui répondra aux prescrits de l’article 14 du RGPD et qui figurera sur le site internet de celle-ci (Pièce 41). 43. En outre, la concluante fera en sorte que cette notice permette d’accéder aisément aux informations relatives à la protection des données en créant une notice explicative qui se trouvera à un endroit unique sur son site web.1 44. De plus, la concluante mettra en place un renvoi clair sur l’invitation de payer permettant d’assurer que les personnes concernées comprennent directement que toutes les informations sont accessibles sur son site internet. En outre, la concluante reverra, à nouveau, dans les meilleurs délais, le contenu du message relatif à la vie privée se trouvant au bas de sa lettre de rappel. 45. Enfin, la concluante s’engage à refaire auditer l’ensemble de son site web afin de mettre en place l’ensemble des documentations, précisions et renvois sous les formulaires nécessaires afin que les personnes concernées puissent accéder aisément à une information complète. Décision quant au fond 81/2020- 40/45 sur le fait que la hauteur du montant de l’amende participe du caractère effectif, proportionné et dissuasif que doit revêtir l’amende24 . 9.2. Quant à la seconde défenderesse 165. La Chambre Contentieuse a constaté un manquement à l’article 14.1-2 combiné à l’article 12.3, à l’article 6, à l’article 5.1 c) et aux articles 5.2. et 24. 1-2 du RGPD dans le chef de la seconde défenderesse (point 137 ci-dessus). 166. Compte tenu de ces manquements, la Chambre Contentieuse adresse à la seconde défenderesse une réprimande sur la base de l’article 100. 1, 5° LCA. 167. La Chambre Contentieuse prend par ailleurs acte du fait que la seconde défenderesse s’est, aux termes de ses conclusions et lors de l’audition, proposée d’apporter certaines modifications dans sa pratique. La Chambre Contentieuse est en effet d’avis qu’un certain nombre de modifications et de mesures doivent en effet, le plus rapidement possible, être apportées par la seconde défenderesse pour se mettre en conformité avec ses obligations découlant du RGPD. Partant, la Chambre Contentieuse lui impose un ordre de mise en conformité détaillé au dispositif en application de l’article 100. 1, 9° LCA (voy. à cet égard la précision au point 141 ci-dessus). 168. Outre cette réprimande25 et cet ordre de mise en conformité, la Chambre Contentieuse est d’avis qu’en complément, une amende administrative est en l’espèce justifiée pour les motifs ci-après. 169. Quant à la nature de la violation, la Chambre Contentieuse relève qu’en ce qui concerne le manquement à l’article 6 du RGPD (absence de base légale – consentement forcé) et à l’article 5.1 c) 24 Comité européen de la protection des données, Decision 01/2020 on the dispute arisen on the draft decision of the Irish Supervisory Authority regarding Twitter International Company under Article 65(1) (a) GDPR (disponible uniquement en anglais) Voy. le § 199 : https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_bindingdecision01_2020_en.pdf “199 Following this, the EDPB considers that the fine proposed in the Draft Decision is too low and therefore does not fulfil its purpose as a corrective measure, in particular it does not meet the requirements ofArticle83(1) GDPR of being effective, dissuasive and proportionate.” Traduction libre par le Secrétariat de l’APD: « 199. En conséquence, le CEPD considère que le montant de l’amende proposé aux termes du projet de décision est trop faible et, pour ce motif, ne remplit pas son rôle de mesure correctrice. En particulier, ce montant ne satisfait pas aux exigences de l’article 83.1. du RGPD selon lesquelles l’amende doit être effective, proportionnée et dissuasive ». 25 La Chambre Contentieuse entend ici clarifier la distinction entre avertissement et réprimande : l’avertissement est destiné à avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du RGPD (article 58.2 a) du RGPD, article 95.1, 4° et article 100.1, 5° LCA). La réprimande (ou rappel à l’ordre) vise à rappeler à l’ordre un responsable de traitement ou un sous-traitant lorsque les opérations de traitement ont entraîné une violation des dispositions du RGPD (article 58.2 b) du RGPD et article 100.1, 5° LCA). Décision quant au fond 81/2020- 41/45 du RGPD, ils sont constitutifs de manquements aux principes fondateurs du RGPD (et du droit de la protection des données en général), soit aux principes de licéité et de minimisation consacrés au Chapitre II « Principes » du RGPD. Certes les données recueillies au terme du formulaire sont des données d’identification principalement et ne constituent pas des données sensibles au sens des articles 9 et 10 du RGPD. Leur traitement intervient toutefois, comme il sera mentionné au point 176 ci-dessous, dans un contexte « infractionnel ». La Chambre Contentieuse tiendra compte de cette double considération. 170. Quant à l’atteinte à l’article 14.1-2 combiné à l’article 12.3 du RGPD, elle est constitutive d’une atteinte aux droits des personnes concernées - nonobstant l’existence d’une politique de confidentialité par ailleurs, ce que la Chambre Contentieuse n’ignore pas et dont elle tient compte (point 179). Le droit à l’’information a été renforcé aux termes du RGPD, ce qui témoigne de son importance toute particulière. L’Autorité de protection des données a, dans cette perspective, inscrit le respect des droits des personnes concernées au titre de priorité dans son plan stratégique 2020-202526. La mesure correctrice/sanction appropriée n’en est pas moins déterminée au cas par cas. 171. Enfin, quant au manquement à l’article 5.2. et 24. 1-2 du RGPD, il est lui aussi constitutif d’un manquement au principe clé de l’accountability, introduit par le RGPD. 172. Aux termes de l’article 83.5 a) du RGPD, les violations de toutes ces dispositions peuvent s’élever jusqu’à 20.000.000 d’euros ou dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaire annuel mondial total de l‘exercice précédent. Les montants maxima d’amende pouvant être appliqués en cas de violation de ces dispositions sont supérieurs à ceux prévus pour d’autres types de manquements listés à l’article 83.4. du RGPD. S’agissant de manquements à un droit fondamental, consacré à l’article 8 de la Charte des droits fondamentaux de l’Union européenne, l’appréciation de leur gravité se fera, comme la Chambre Contentieuse a déjà eu l’occasion de le souligner, à l’appui de l’article 83.2.a) du RGPD, de manière autonome27 . 173. Aux termes de la réaction qu’elle a adressée à la Chambre Contentieuse en réponse au formulaire d’amende envisagée, la seconde défenderesse fait état de ce que la crise sanitaire liée à la pandémie du virus covid-19 a touché de manière extrêmement dure la profession d’huissier de justice. La suspension forcée de la plupart des activités des huissiers (dont les mesures d’exécution) a conduit la seconde défenderesse à devoir mettre une partie de son personnel au chômage technique. La 26 Autorité de protection des données (APD), Plan stratégique 2020-2025 : https://www.autoriteprotectiondonnees.be/publications/plan-strategique-2020-2025.pdf 27 Voy. à cet égard la décision 64/2020 de la Chambre Contentieuse (point 54) : https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-64-2020.pdf Décision quant au fond 81/2020- 42/45 seconde défenderesse estime que son chiffre d’affaire à venir pour 2020 et 2021 sera, par ailleurs, sans proportion avec celui des années passées. 174. Quant au nombre de personnes concernées affectées par les violations, la Chambre Contentieuse relève que les manquements constatés concernent, au-delà de la seule plaignante, un grand nombre de personnes. La seconde défenderesse n’est assurément pas une société multinationale mais bien une PME belge. La seconde défenderesse n’en est pas moins une étude d’huissiers de justice de référence en Belgique, forte d’une expérience de […] années et qui compte [ …] collaborateurs. 175. Compte tenu de ce que les manquements s’inscrivent dans la pratique de la seconde défenderesse, le nombre de personnes potentiellement concernées est à la hauteur du nombre de personnes dont la seconde défenderesse traite les données dans le cadre de l’exercice de ses missions de recouvrement amiable, soit un nombre important, et ce, même si le recouvrement amiable de dettes ne constitue, ce que la Chambre Contentieuse n’ignore pas, qu’une partie des activités de la seconde défenderesse. 176. Quant à la qualité de la seconde défenderesse, la Chambre Contentieuse rappelle que dans de précédentes décisions, elle a retenu la qualité de mandataire public du responsable de traitement comme un facteur aggravant au sens de l’article 83.2. k) du RGPD28 . La seconde défenderesse est notamment un fonctionnaire ministériel disposant d’une autorité publique, qui peut exercer des compétences dites «monopolistiques», qui lui sont conférées par la loi. En tant que profession libérale, l’huissier de justice exerce quelques activités extrajudiciaires dont le recouvrement amiable de dettes. La fonction est réglementée et les huissiers de justice sont nommés par le Roi. Leur nombre est limité. Eu égard à ce statut, la seconde défenderesse se doit d’adopter une attitude exemplaire quelle que soit la casquette avec laquelle elle exécute ses missions. Le contexte « infractionnel » dans le cadre duquel interviennent les traitements de données qu’elle opère exige également, eu égard à leur finalité, un respect tout particulièrement rigoureux des droits des personnes concernées. Le traitement de données constitue par ailleurs une part substantielle de l’activité de la seconde défenderesse. 177. Quant au critère de durée, la Chambre Contentieuse constate que ces manquements ont duré dans le temps dès lors qu’ils s’inscrivent dans les pratiques de la seconde défenderesse (article 83. 1 a) du RGPD), à tout le moins depuis janvier 2019. 28 Voy. la décision 10/2019 de la Chambre Contentieuse (page 12) https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-10-2019.pdf ainsi que sa décision 11/2019 (page 10) https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n11-2019.pdf Décision quant au fond 81/2020- 43/45 178. Quant à la question de savoir si les manquements ont été commis délibérément ou par négligence (art. 83.2.b) du RGPD), la Chambre Contentieuse estime qu’ils ne sont pas délibérés. Elle retient également le fait que dès le 25 mai 2018, la seconde défenderesse disposait d’une politique de confidentialité claire et détaillée et s’est employée à se conformer à l’ensemble des obligations découlant du RGPD qui lui incombent, notamment la désignation d’un DPO. Elle a pris contact avec des consultants spécialisés à cet effet et ce, nonobstant les annonces faites par la Chambre nationale des huissiers de justice qui indiquait qu’elle allait mettre en place des mesures concrètes pour accompagner et aider les études ce qui in fine, n’a pas été le cas. 179. Enfin, la seconde défenderesse s’est montrée coopérante et soucieuse de modifier ses pratiques en cours de procédure (aux termes de ses conclusions et lors de l’audition). La Chambre Contentieuse en a pris acte. (voy. à cet égard la précision au point 141 ci-dessus). 180. La Chambre Contentieuse constate que les autres critères de l’article 83.2. du RGPD ne sont ni pertinents ni susceptibles d’influer sur sa décision quant à l’imposition d’une amende administrative et son montant. 181. En conclusion, au regard des éléments développés ci-dessus propres à cette affaire, la Chambre Contentieuse estime que les faits constatés et le manquement à l’article 14.1-2 combiné à l’article 12.3, à l’article 6, à l’article 5.1 c) et aux articles 5.2. et 24. 1-2 du RGPD, justifient qu’au titre de sanction effective, proportionnée et dissuasive telle que prévue à l’article 83 du RGPD et compte tenu des facteurs d’appréciation listés à l’article 83.2. du RGPD et de la réaction de la seconde défenderesse au formulaire d’amende envisagée, une réprimande (article 100.1, 5° LCA) et un ordre de mise en conformité détaillé ci-dessous (article 100.1, 9° LCA) assortis d’une amende administrative d’un montant de 15.000 euros (article 100.1, 13° et 101 LCA) soient prononcés à l’encontre de la seconde défenderesse. 10. Quant à la transparence 182. Compte tenu de l'importance de la transparence en ce qui concerne le processus décisionnel et les décisions de la Chambre Contentieuse, cette décision sera publiée sur le site Internet de l'APD moyennant la suppression des données d’identification directe des parties et des personnes citées, qu’elles soient physiques ou morales. 183. La Chambre contentieuse n’ignore pas que la plaignante a demandé la publication nominative de cette décision. La Chambre contentieuse est d’avis qu’il n’appartient pas au plaignant de solliciter telle mesure. En l’espèce la Chambre Contentieuse n’en tient pas moins à préciser que dans le cadre de la large marge d’appréciation sur l’application de l’article 100.1, 16 LCA qui est la sienne, elle décide de ne pas publier cette décision en mentionnant les responsables de traitement mis en cause. Décision quant au fond 81/2020- 44/45 Lorsqu’elle a décidé de publier ses décisions en mentionnant l’identité de la partie défenderesse, la Chambre Contentieuse a motivé sa décision par le fait que cette publicité garantirait une mise en conformité rapide, contribuerait à une diminution du risque de répétitions et visait à informer le public compte tenu du responsable de traitement mis en cause. En outre, toute pseudonymisation du nom de la défenderesse aurait été dans ces quelques cas illusoire29. Elle ne juge pas nécessaire de le faire en l’espèce. POUR CES MOTIFS LA CHAMBRE CONTENTIEUSE Après en avoir délibéré, décide de : A l’égard de la première défenderesse - Prononcer à l’encontre de la défenderesse une réprimande sur la base de l’article 100.1, 5° LCA ; - Prononcer un ordre de mise en conformité en termes de mise en oeuvre des droits d’information et d’accès des personnes concernées et ce, sur la base de l’article 100.1, 9° LCA. Il est à cet effet demandé à la première défenderesse de communiquer à l’APD tant sa politique de confidentialité applicable aux traitements visés par la présente décision que sa/ses clause(s) d’information ainsi que la procédure mise en place pour répondre à l’exercice du droit d’accès. Cette production de documents doit intervenir dans un délai de 3 mois à dater de la notification de la présente décision via l’adresse litigationchamber@apd-gba.be - Prononcer à l’encontre de la défenderesse une amende administrative d’un montant de 50.000 euros en application des articles 100.1, 13° et 101 LCA. A l’égard de la seconde défenderesse : - Prononcer à l’encontre de la défenderesse une réprimande sur la base de l’article 100.1, 5° LCA ; - Prononcer un ordre de mise en conformité en termes d’information (politique de confidentialité et clauses d’information) et de base de licéité du formulaire joint aux mises en demeure de 29 Voy. la décision 37/2020 de la Chambre contentieuse (point 183) : https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-37-2020.pdf Décision quant au fond 81/2020- 45/45 paiement et ce, sur la base de l’article 100.1, 9° LCA. Il est à cet effet demandé à la seconde défenderesse de communiquer à l’APD tant sa politique de confidentialité applicable aux traitements visés par la présente décision que sa/ses clause(s) d’information ainsi que la manière dont elle entend répondre aux manquements liés au formulaire susmentionné. La communication de ces documents doit intervenir dans un délai de 3 mois à dater de la notification de la présente décision via l’adresse litigationchamber@apd-gba.be - Prononcer à l’encontre de la défenderesse une amende administrative d’un montant de 15.000 euros en application des articles 100.1, 13° et 101 LCA. En vertu de l’article 108.1 LCA, cette décision peut faire l’objet d’un recours auprès de la Cour des marchés (Cour d’appel de Bruxelles) dans un délai de 30 jours à compter de sa notification, avec l’Autorité de protection des données en qualité de défenderesse. (Sé.) Hielke Hijmans Président de la Chambre Contentieuse
